OneFS 8.0.1 CLI管理ガイド...第 2 章第 3 章第 4 章目次 OneFS 8.0.1 CLI...

IsilonOneFSバージョン 8.0.1

CLI管理ガイド

Copyright © 2013年-2016年 EMC ジャパン株式会社 All rights reserved. （不許複製・禁無断転載）

2016 年 10 月発行

掲載される情報は、発信現在で正確な情報であり、予告なく変更される場合があります。

本文書に記載される情報は、「現状有姿」の条件で提供されています。本文書に記載される情報に関する、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示的保証はいたしません。この資料に記載される、いかなる Dell ソフトウェアの使用、複製、頒布も、当該ソフトウェアライセンスが必要です。

Dell、EMC、および Dell または EMC が提供する製品及びサービスにかかる商標は Dell Inc.またはその関連会社の商標又は登録商標です。その他の商標は、各社の商標又は登録商標です。Published in the USA.

EMC ジャパン株式会社〒 151-0053 東京都渋谷区代々木 2-1-1 新宿マインズタワーwww.DellEMC.com/ja-jp/index.htmお問い合わせはwww.DellEMC.com/ja-jp/index.htm

2 OneFS 8.0.1 CLI管理ガイド

このガイドの概要 33このガイドについて.......................................................................................... 34Isilon スケールアウト NAS の概要....................................................................34IsilonSD Edge の概要.................................................................................. 34サポートの問い合わせ先................................................................................. 34

セルフサービスサポート......................................................................35

Isilon スケールアウト NAS 37OneFS ストレージアーキテクチャ......................................................................38Isilon ノードコンポーネント.............................................................................. 38内部ネットワークと外部ネットワーク................................................................... 39Isilon クラスター.............................................................................................39

クラスター管理..................................................................................39Quorum......................................................................................... 40スプリットとマージ................................................................................41ストレージプール............................................................................... 41

OneFS オペレーティングシステム...................................................................... 41データアクセスプロトコル.................................................................... 42ID管理とアクセス制御.......................................................................42

ファイルシステムの構造...................................................................................43データレイアウト................................................................................44ファイルの書き込み............................................................................ 44ファイルの読み取り.............................................................................44メタデータの配置...............................................................................45ロックと並列性..................................................................................45ストライピング....................................................................................45

データ保護の概要......................................................................................... 46N+M データ保護.............................................................................. 47データミラーリング.............................................................................. 47ファイルシステムジャーナル.................................................................48VHS（仮想ホットスペア）................................................................ 48保護とストレージ領域のバランシング.................................................... 48

VMware の統合...........................................................................................48ソフトウェアモジュール..................................................................................... 48

OneFS コマンドラインインターフェイスの概要 51OneFS コマンドラインインターフェイスの概要.....................................................52

IsilonSD Edge コマンドラインインターフェイスの概要............................. 52構文図........................................................................................................ 52ユニバーサルオプション....................................................................................53コマンドラインインターフェイス権限................................................................... 54SmartLock対応コマンドの権限..................................................................... 54OneFS の時間値..........................................................................................57

一般的なクラスター管理 59

第 1 章

第 2 章

第 3 章

第 4 章

目次

OneFS 8.0.1 CLI管理ガイド 3

一般的なクラスター管理の概要.......................................................................60ユーザーインターフェイス..................................................................................60クラスターへの接続......................................................................................... 61

Web管理インターフェイスへのログイン...................................................61クラスターへの SSH接続を開く........................................................... 62

ライセンス......................................................................................................62ライセンスのステータス........................................................................ 62ライセンスの構成...............................................................................65ライセンスのアクティブ化..................................................................... 66ライセンス情報の表示....................................................................... 66

証明書........................................................................................................ 67SSL証明書の置換または更新.......................................................... 67SSL証明書更新の確認...................................................................68自己署名 SSL証明書データの例...................................................... 69

クラスタの ID..................................................................................................69クラスター名の設定 ...........................................................................70

クラスターの連絡先情報................................................................................. 70連絡先情報の指定 ......................................................................... 70

クラスターの日付と時間................................................................................... 71クラスターの日時の設定......................................................................71NTP タイムサーバーの指定................................................................72

SMTP メール設定.........................................................................................73SMTP メール設定の構成 ................................................................. 73SMTP メール設定の表示.................................................................. 73

クラスターの参加モードの構成..........................................................................74クラスター参加モードの指定 ............................................................... 74

ファイルシステムの設定...................................................................................75クラスター文字エンコードの指定...........................................................75アクセス時間トラッキングの有効化または無効化 ................................... 75

セキュリティの強化.......................................................................................... 76STIG強化プロファイル....................................................................... 77セキュリティ強化プロファイルの適用.......................................................78セキュリティ強化プロファイルの復元.......................................................79セキュリティ強化ステータスの表示........................................................ 80

クラスターの監視............................................................................................80クラスターの監視................................................................................81ノードのステータスの表示.................................................................... 81

クラスターハードウェアの監視............................................................................81ノードハードウェアステータスの表示......................................................81シャーシとドライブの状態.................................................................... 82バッテリーステータスの確認.................................................................85SNMP モニタリング........................................................................... 85

イベントとアラート........................................................................................... 89イベントの概要................................................................................. 89イベントグループの概要..................................................................... 90アラートの概要................................................................................. 90チャネルの概要.................................................................................90イベントグループの変更と表示............................................................90アラートの管理................................................................................. 92チャネルの管理................................................................................. 94保守とテスト.....................................................................................96

クラスターのメンテナンス...................................................................................98

目次


ノードコンポーネントの交換................................................................ 98ノードコンポーネントのアップグレード.....................................................99ドライブのファームウェアの管理.............................................................99クラスターノードの管理.....................................................................103OneFS のアップグレード....................................................................106

リモートサポート........................................................................................... 107ESRS サポートの構成..................................................................... 107リモートサポートスクリプト.................................................................108ESRS サポートの有効化と構成......................................................... 110ESRS サポートの無効化.................................................................. 110ESRS構成設定の表示....................................................................111

クラスター管理コマンド.................................................................................... 111isi diagnostics gather settings modify............................................ 111isi diagnostics gather settings view............................................... 113isi diagnostics gather start............................................................ 113isi diagnostics gather status..........................................................114isi diagnostics gather stop.............................................................114isi diagnostics netlogger settings modify...................................... 115isi diagnostics netlogger settings view.......................................... 116isi diagnostics netlogger start....................................................... 116isi diagnostics netlogger status..................................................... 117isi diagnostics netlogger stop........................................................ 117isi config........................................................................................117isi email settings modify............................................................... 122isi email settings view................................................................... 123isi hardening apply........................................................................ 124isi hardening revert.......................................................................124isi hardening status...................................................................... 125isi license licenses activate........................................................... 125isi license licenses list................................................................... 125isi license licenses view................................................................ 126isi remotesupport connectemc modify..........................................127isi remotesupport connectemc view............................................. 128isi services....................................................................................128isi set............................................................................................129isi snmp settings modify............................................................... 132isi snmp settings view...................................................................134isi statistics client......................................................................... 134isi statistics drive..........................................................................139isi statistics heat.......................................................................... 142isi statistics query current............................................................ 146isi statistics query history............................................................. 147isi statistics list keys.....................................................................149isi statistics list operations........................................................... 149isi statistics protocol..................................................................... 151isi statistics pstat......................................................................... 156isi statistics system...................................................................... 157isi status.......................................................................................159isi upgrade cluster add-nodes.......................................................160isi upgrade cluster add-remaining-nodes...................................... 160isi upgrade cluster archive............................................................160isi upgrade cluster assess..............................................................161isi upgrade cluster commit............................................................ 161isi upgrade cluster firmware.......................................................... 161isi upgrade cluster from-version................................................... 162

目次


isi upgrade cluster nodes firmware............................................... 163isi upgrade cluster nodes list........................................................ 163isi upgrade cluster nodes view......................................................164isi upgrade cluster retry-last-action............................................. 164isi upgrade cluster rollback........................................................... 165isi upgrade cluster settings...........................................................165isi upgrade cluster start................................................................165isi upgrade cluster to-version....................................................... 166isi upgrade cluster view................................................................ 166isi upgrade patches abort............................................................. 166isi upgrade patches install.............................................................167isi upgrade patches list................................................................. 167isi upgrade patches uninstall.........................................................168isi upgrade patches view.............................................................. 168isi version..................................................................................... 168isi_for_array.................................................................................169isi get............................................................................................ 171isi_gather_info............................................................................. 173isi_phone_home........................................................................... 178

イベントコマンド........................................................................................... 180isi event alerts create................................................................... 180isi event alerts delete................................................................... 182isi event alerts list.........................................................................182isi event alerts modify.................................................................. 183isi event alerts view...................................................................... 186isi event channels create.............................................................. 187isi event channels delete.............................................................. 189isi event channels list................................................................... 189isi event channels modify............................................................. 190isi event channels view................................................................. 193isi event events list.......................................................................193isi event events view.................................................................... 194isi event groups bulk.....................................................................194isi event groups list...................................................................... 195isi event groups modify................................................................ 196isi event groups view.................................................................... 197isi event settings modify...............................................................197isi event settings view.................................................................. 198isi event test create......................................................................198

ハードウェアコマンド...................................................................................... 199isi batterystatus list......................................................................199isi batterystatus view................................................................... 199isi devices add............................................................................. 200isi devices drive add.....................................................................200isi devices drive firmware list........................................................201isi devices drive firmware update list............................................201isi devices drive firmware update start........................................ 202isi devices drive firmware update view.........................................202isi devices drive firmware view.................................................... 203isi devices drive format................................................................203isi devices drive list......................................................................204isi devices drive purpose..............................................................204isi devices drive purposelist......................................................... 205isi devices drive smartfail.............................................................205isi devices drive stopfail...............................................................206isi devices drive suspend..............................................................206

目次


isi devices drive view................................................................... 207isi devices firmware list................................................................207isi devices firmware update list....................................................208isi devices firmware update start................................................. 208isi devices firmware update view................................................. 209isi devices firmware view............................................................. 209isi devices format........................................................................ 209isi devices list............................................................................... 210isi devices node add...................................................................... 211isi devices node list....................................................................... 211isi devices node smartfail..............................................................212isi devices node stopfail................................................................212isi devices purpose....................................................................... 213isi devices purposelist...................................................................213isi devices smartfail...................................................................... 214isi devices stopfail........................................................................ 214isi devices suspend.......................................................................215isi devices view.............................................................................215isi readonly list..............................................................................216isi readonly modify....................................................................... 216isi readonly view........................................................................... 217isi servicelight list......................................................................... 217isi servicelight modify...................................................................218isi servicelight view...................................................................... 218

アクセスゾーン 219アクセスゾーンの概要 ..................................................................................220ベースディレクトリのガイドライン...................................................................... 220アクセスゾーンのベストプラクティス.................................................................. 221SyncIQ セカンダリクラスタ上のアクセスゾーン.................................................. 222アクセスゾーンの制限...................................................................................222サービス品質...............................................................................................222アクセスゾーンの管理...................................................................................223

アクセスゾーンの作成......................................................................223重複ベースディレクトリの割り当て......................................................224アクセスゾーンでの認証プロバイダーの管理.........................................224IP アドレスプールのアクセスゾーンへの関連づけ..................................225アクセスゾーンの変更......................................................................225アクセスゾーンの削除......................................................................225アクセスゾーンの一覧表示...............................................................226

アクセスゾーンコマンド................................................................................. 226isi zone restrictions create...........................................................226isi zone restrictions delete........................................................... 227isi zone restrictions list................................................................ 228isi zone zones create................................................................... 229isi zone zones delete....................................................................230isi zone zones list.........................................................................230isi zone zones modify................................................................... 231isi zone zones view...................................................................... 233

認証 235認証の概要................................................................................................236認証プロバイダーの機能............................................................................... 236

第 5 章

第 6 章

目次


SID（セキュリティ識別子）ヒストリの概要.......................................................236サポートされている認証プロバイダー................................................................ 237Active Directory........................................................................................237LDAP........................................................................................................ 238NIS........................................................................................................... 239Kerberos認証...........................................................................................239

キータブと SPN の概要....................................................................240MIT Kerberos プロトコルのサポート.................................................. 240

ファイルプロバイダー......................................................................................240ローカルプロバイダー..................................................................................... 241Active Directory プロバイダーの管理.............................................................241

Active Directory プロバイダーの構成................................................241Active Directory プロバイダーの変更............................................... 242Active Directory プロバイダーの削除............................................... 242

LDAP プロバイダーの管理.............................................................................242LDAP プロバイダーの構成................................................................242LDAP プロバイダーの変更................................................................243LDAP プロバイダーの削除................................................................243

NIS プロバイダーの管理................................................................................244NIS プロバイダーの構成................................................................... 244NIS プロバイダーの変更................................................................... 244NIS プロバイダーの削除................................................................... 244

MIT Kerberos認証の管理..........................................................................245MIT Kerberos領域の管理.............................................................245MIT Kerberos プロバイダーの管理....................................................247MIT Kerberos ドメインの管理..........................................................249SPN およびキーの管理.................................................................... 251

ファイルプロバイダーの管理............................................................................254ファイルプロバイダーの構成...............................................................254パスワードファイルの生成................................................................. 254ファイルプロバイダーの変更...............................................................255ファイルプロバイダーの削除...............................................................255パスワードファイルの形式................................................................. 255グループファイルの形式....................................................................256ネットグループファイルの形式............................................................ 257

ローカルユーザーおよびグループの管理........................................................... 258プロバイダーによるユーザーとグループのリストの表示..............................258ローカルユーザーの作成.................................................................. 258ローカルグループの作成...................................................................259ローカルユーザーおよびグループの命名規則....................................... 259ローカルパスワードポリシーの構成と変更........................................... 259ローカルパスワードポリシー設定....................................................... 260ローカルユーザーの変更................................................................... 261ローカルグループの変更................................................................... 261ローカルユーザーの削除.................................................................. 262ローカルグループの削除...................................................................262

認証およびアクセス制御コマンド.....................................................................262isi auth access............................................................................. 262isi auth ads create........................................................................263isi auth ads delete........................................................................ 267isi auth ads list............................................................................. 268isi auth ads modify.......................................................................269

目次


isi auth ads view...........................................................................274isi auth ads spn check.................................................................. 275isi auth ads spn create................................................................. 275isi auth ads spn delete..................................................................275isi auth ads spn fix....................................................................... 276isi auth ads spn list.......................................................................276isi auth ads trusts controllers list..................................................277isi auth ads trusts list................................................................... 278isi auth ads trusts view.................................................................278isi auth error................................................................................ 278isi auth file create........................................................................ 279isi auth file delete.........................................................................282isi auth file list..............................................................................283isi auth file modify........................................................................283isi auth file view............................................................................291isi auth groups create...................................................................291isi auth groups delete...................................................................292isi auth groups flush.....................................................................293isi auth groups list........................................................................293isi auth groups members list........................................................ 294isi auth groups modify..................................................................295isi auth groups view..................................................................... 296isi auth id..................................................................................... 297isi auth krb5 create...................................................................... 297isi auth krb5 delete...................................................................... 298isi auth krb5 list........................................................................... 299isi auth krb5 view.........................................................................299isi auth krb5 domain create..........................................................300isi auth krb5 domain delete..........................................................300isi auth krb5 domain list............................................................... 300isi auth krb5 domain modify..........................................................301isi auth krb5 domain view............................................................. 301isi auth krb5 realm create.............................................................301isi auth krb5 realm delete.............................................................302isi auth krb5 realm modify............................................................302isi auth krb5 realm list..................................................................303isi auth krb5 realm view............................................................... 303isi auth krb5 spn create............................................................... 304isi auth krb5 spn delete................................................................304isi auth krb5 spn check................................................................ 304isi auth krb5 spn fix..................................................................... 305isi auth krb5 spn import............................................................... 305isi auth krb5 spn list.....................................................................306isi auth ldap create...................................................................... 306isi auth ldap delete........................................................................314isi auth ldap list.............................................................................314isi auth ldap modify...................................................................... 315isi auth ldap view......................................................................... 325isi auth local list........................................................................... 326isi auth local modify..................................................................... 326isi auth local view.........................................................................328isi auth log-level modify............................................................... 328isi auth log-level view...................................................................329isi auth mapping create................................................................329isi auth mapping delete.................................................................331isi auth mapping dump................................................................. 332

目次


isi auth mapping flush.................................................................. 332isi auth mapping import................................................................333isi auth mapping list..................................................................... 333isi auth mapping modify............................................................... 334isi auth mapping token.................................................................335isi auth mapping view...................................................................335isi auth netgroups view................................................................ 336isi auth nis create.........................................................................337isi auth nis delete......................................................................... 340isi auth nis list...............................................................................341isi auth nis modify.........................................................................341isi auth nis view............................................................................348isi auth privileges......................................................................... 348isi auth refresh.............................................................................348isi auth roles create..................................................................... 349isi auth roles delete......................................................................349isi auth roles list...........................................................................350isi auth roles members list........................................................... 350isi auth roles modify..................................................................... 351isi auth roles privileges list........................................................... 353isi auth roles view........................................................................ 354isi auth settings acls modify.........................................................354isi auth settings acls view............................................................ 359isi auth settings global modify......................................................360isi auth settings global view......................................................... 362isi auth settings krb5 modify........................................................362isi auth settings krb5 view........................................................... 363isi auth settings mapping modify..................................................363isi auth settings mapping view..................................................... 365isi auth status.............................................................................. 365isi auth users create.....................................................................366isi auth users delete..................................................................... 368isi auth users flush....................................................................... 368isi auth users list.......................................................................... 369isi auth users modify.................................................................... 370isi auth users view........................................................................372isi certificate server delete...........................................................373isi certificate server import.......................................................... 373isi certificate server list................................................................374isi certificate server modify..........................................................374isi certificate server view............................................................. 375

管理者の役割と権限 377役割に基づくアクセス制御.............................................................................378Roles........................................................................................................ 378

カスタム役割.................................................................................. 378組み込みの役割.............................................................................379

権限..........................................................................................................382サポートされている OneFS の権限.................................................... 383データバックアップおよびリストア権限.................................................. 386コマンドラインインターフェイス権限.................................................... 386

役割の管理................................................................................................390役割の表示...................................................................................390権限の表示...................................................................................390

第 7 章

目次


カスタム役割の作成と変更............................................................... 391カスタム役割の削除........................................................................ 392

ID管理 393ID管理の概要............................................................................................394ID タイプ..................................................................................................... 394アクセストークン...........................................................................................395アクセストークンの生成................................................................................ 396

ID マッピング................................................................................... 396ユーザーマッピング...........................................................................398オンディスク ID............................................................................... 400

ID マッピング管理.........................................................................................402ID マッピングの作成......................................................................... 402ID マッピングの変更......................................................................... 402ID マッピングの削除......................................................................... 402ID マッピングの表示......................................................................... 403ID マッピングキャッシュのフラッシュ...................................................... 403ユーザートークンの表示...................................................................404ID マッピング設定の構成..................................................................404ID マッピング設定の表示..................................................................405

ユーザー ID の管理......................................................................................405ユーザー ID の表示......................................................................... 405ユーザーマッピングルールの作成.......................................................406Windows と UNIX のトークンのマージ............................................... 408LDAP からのプライマリグループの取得............................................... 408マッピングルールのオプション..............................................................409マッピングルール演算子................................................................... 410

ホームディレクトリ 413ホームディレクトリの概要............................................................................... 414ホームディレクトリの権限............................................................................... 414SMB ユーザーの認証................................................................................... 414SMB によるホームディレクトリの作成.............................................................. 414

拡張変数を使用したホームディレクトリの作成.....................................415--inheritable-path-acl オプションでのホームディレクトリの作成............. 416SMB共有%U変数での特別なホームディレクトリの作成.....................417

SSH および FTP によるホームディレクトリの作成.............................................. 418SSH または FTP ログインシェルの設定 ............................................. 418SSH/FTP ホームディレクトリ権限の設定...........................................419SSH/FTP ホームディレクトリ作成オプションの設定............................. 420ドットファイルを使用したホームディレクトリのプロビジョニング...................420

混在環境でのホームディレクトリの作成........................................................... 421ACL とモードビットの相互作用...................................................................... 421認証プロバイダーでのデフォルトホームディレクトリの設定................................... 422サポートされる拡張変数............................................................................... 423ホームディレクトリプロビジョニングでのドメイン変数............................................425

データアクセス制御 427データアクセス制御の概要............................................................................428ACL.......................................................................................................... 428

第 8 章

第 9 章

第 10 章

目次


UNIX権限.................................................................................................429権限が混在する環境...................................................................................429

Windows で作成されたファイルの NFS アクセス.................................. 429UNIX で作成されたファイルへの SMB アクセス.................................... 429

アクセス権限の管理.....................................................................................430予期されるユーザー権限の表示........................................................430アクセス管理設定の構成..................................................................431ACL ポリシー設定の変更.................................................................432PermissionsRepair ジョブの実行.....................................................432

ファイル共有 435ファイル共有の概要......................................................................................436

プロトコル混在環境.........................................................................436SmartCache を使用したライトキャッシュ............................................437

SMB......................................................................................................... 438アクセスゾーンの SMB共有............................................................ 439SMB マルチチャネル........................................................................ 439MMC を通じた SMB共有管理........................................................441SMB サーバー側のコピー................................................................. 442SMB の継続的な可用性................................................................ 443SMB ファイルのフィルタリング............................................................. 443シンボリックリンクと SMB クライアント..................................................444SMB共有への匿名アクセス.............................................................446SMB設定の管理.......................................................................... 446SMB共有の管理.......................................................................... 448SMB コマンド................................................................................. 455

NFS.......................................................................................................... 487NFS エクスポート............................................................................ 487NFS エイリアス............................................................................... 488NFS ログファイル............................................................................ 488NFS サービスの管理....................................................................... 489NFS エクスポートの管理..................................................................490NFS エイリアスの管理..................................................................... 493NFS コマンド..................................................................................495

FTP.......................................................................................................... 544FTP設定の表示........................................................................... 544FTP ファイル共有の有効化..............................................................545FTP ファイル共有の構成................................................................. 546FTP コマンド.................................................................................. 546

HTTP および HTTPS..................................................................................553HTTP の有効化と構成...................................................................554Apache サービスを通じて HTTPS を有効化する................................ 554Apache サービスを通じて HTTPS を無効化する................................ 554isi http settings modify................................................................ 554isi http settings view................................................................... 555

ファイルフィルタリング機能 557アクセスゾーンでのファイルのフィルタリング........................................................ 558アクセスゾーンでのファイルフィルタリングの有効化と構成................................... 558アクセスゾーンでのファイルフィルタリングの無効化.............................................558ファイルフィルタリング設定の表示................................................................... 559

第 11 章

第 12 章

目次


ファイルフィルタリングコマンド......................................................................... 559isi file-filter settings modify......................................................... 559isi file-filter settings view.............................................................560

監査とログ 563監査の概要................................................................................................564システムログ................................................................................................ 564

システムログの転送......................................................................... 564プロトコル監査イベント..................................................................................565サポートされる監査ツール............................................................................. 565複数の CEE サーバへのプロトコル監査イベントのデリバリ................................... 566サポートされるイベントタイプ..........................................................................566監査ログの例　........................................................................................... 568監査設定の管理........................................................................................ 568

プロトコルアクセス監査の有効化...................................................... 569プロトコルアクセスイベントのシステムログへの転送 ..............................569システム構成監査の有効化.............................................................570監査ホスト名の設定....................................................................... 570プロトコル監査対象ゾーンの構成.......................................................571システム構成変更のシステムログへの転送...........................................571プロトコルのイベントフィルターの構成.................................................. 571

EMC Common Event Enabler との統合...................................................... 572Windows用 CEE のインストール......................................................572Windows用 CEE の構成...............................................................573プロトコル監査イベントデリバリのための CEE サーバ構成......................574

プロトコル監査イベントデリバリのトラッキング.....................................................574CEE サーバおよびシステムログへのイベントデリバリのタイムスタンプの表示....575CEE サーバとシステムログへのプロトコル監査イベントのデリバリのグローバルビューを表示します............................................................................ 575CEE フォワーダーのログの位置の移動................................................ 575プロトコル監査イベントの CEE サーバへのデリバリ率の表示................... 576

監査コマンド............................................................................................... 576isi audit settings global modify.....................................................576isi audit settings global view.........................................................578isi audit settings modify............................................................... 579isi audit settings view...................................................................582isi audit topics list........................................................................ 582isi audit topics modify.................................................................. 583isi audit topics view......................................................................583isi audit progress view ................................................................ 583isi audit progress global view....................................................... 584

スナップショット 587スナップショットの概要................................................................................... 588SnapshotIQ によるデータ保護......................................................................588スナップショットのディスク領域使用量.............................................................. 588スナップショットスケジュール........................................................................... 589スナップショットエイリアス............................................................................... 589ファイルとディレクトリのリストア.........................................................................589スナップショット作成のベストプラクティス...........................................................590

第 13 章

第 14 章

目次


スナップショットスケジュール作成のベストプラクティス......................................... 590ファイルクローン............................................................................................591

シャドウストアに関する考慮事項...................................................... 592スナップショットロック..................................................................................... 592スナップショット予約...................................................................................... 593SnapshotIQ ライセンスの機能...................................................................... 593SnapshotIQ を使用したスナップショットの作成.................................................593

SnapRevert ドメインの作成............................................................ 594スナップショットスケジュールの作成.....................................................594スナップショットの作成...................................................................... 595スナップショットの命名パターン........................................................... 595

スナップショットの管理 .................................................................................. 598スナップショットのディスク領域使用量の削減....................................... 598スナップショットの削除...................................................................... 598スナップショット属性の変更............................................................... 599スナップショットエイリアスの変更 ........................................................599スナップショットの表示...................................................................... 599スナップショット情報......................................................................... 600

スナップショットデータのリストア........................................................................601スナップショットの復元 ......................................................................601Windows エクスプローラーを使用したファイルまたはディレクトリのリストア...601UNIX コマンドラインを使用したファイルまたはディレクトリのリストア.......... 602スナップショットからのファイルのクローン................................................ 602

スナップショットスケジュールの管理................................................................. 603スナップショットスケジュールの変更 ....................................................603スナップショットスケジュールの削除 ....................................................603スナップショットスケジュールの表示 ....................................................604

スナップショットエイリアスの管理..................................................................... 604スナップショットスケジュールのスナップショットエイリアスの構成................ 604スナップショットへのスナップショットエイリアスの割り当て..........................605ライブファイルシステムへのスナップショットエイリアスの再割り当て........... 605スナップショットエイリアスの表示........................................................ 605スナップショットエイリアス情報........................................................... 606

スナップショットロックの管理........................................................................... 606スナップショットロックの作成.............................................................. 606スナップショットロックの有効期限の変更............................................. 607スナップショットロックの削除.............................................................. 607スナップショットロック情報................................................................. 608

SnapshotIQ設定の構成 ........................................................................... 608SnapshotIQ設定 .........................................................................608

スナップショット予約の設定............................................................................609変更リストの管理.........................................................................................610

変更リストの作成............................................................................ 610変更リストの削除............................................................................ 610変更リストの表示.............................................................................611変更リスト情報................................................................................611

スナップショットコマンド...................................................................................612スナップショットの命名パターン............................................................612isi snapshot schedules create.......................................................615isi snapshot schedules modify...................................................... 617isi snapshot schedules delete....................................................... 619isi snapshot schedules list............................................................620

目次


isi snapshot schedules view..........................................................621isi snapshot schedules pending list............................................... 621isi snapshot snapshots create...................................................... 622isi snapshot snapshots modify..................................................... 623isi snapshot snapshots delete...................................................... 625isi snapshot snapshots list........................................................... 626isi snapshot snapshots view.........................................................628isi snapshot settings modify.........................................................628isi snapshot settings view............................................................ 630isi snapshot locks create..............................................................630isi snapshot locks modify..............................................................631isi snapshot locks delete.............................................................. 632isi snapshot locks list................................................................... 633isi snapshot locks view.................................................................634isi snapshot aliases create............................................................634isi snapshot aliases modify...........................................................635isi snapshot aliases delete............................................................635isi snapshot aliases list.................................................................636isi snapshot aliases view...............................................................637

SmartDedupe による重複排除 639重複排除の概要........................................................................................ 640重複排除ジョブ........................................................................................... 640重複排除によるデータレプリケーションとバックアップ............................................ 641重複排除でのスナップショット..........................................................................641重複排除に関する考慮事項........................................................................ 642シャドウストアに関する考慮事項................................................................... 642SmartDedupe ライセンスの機能................................................................... 643重複排除の管理.........................................................................................643

重複排除によるスペースの節約の評価 ............................................. 643重複排除設定の指定 ....................................................................644重複排除によるスペースの節約の表示 ............................................. 644重複排除レポートの表示 ................................................................644重複排除ジョブレポート情報........................................................... 645重複排除情報...............................................................................646

重複排除コマンド........................................................................................ 646isi dedupe settings modify........................................................... 647isi dedupe settings view...............................................................648isi dedupe stats............................................................................648isi dedupe reports list...................................................................648isi dedupe reports view ............................................................... 649

SyncIQ を使用したデータレプリケーション 651SyncIQ のデータレプリケーションの概要..........................................................652

IsilonSD Edge での SyncIQ へのアクセス..........................................652レプリケーションポリシーとジョブ.......................................................................652

自動化されたレプリケーションポリシー................................................ 653ソースクラスターとターゲットクラスターの関連づけ.................................654NAT を使用した SyncIQ ソースおよびターゲットクラスタの構成.............655フルレプリケーションと差分レプリケーション........................................... 656レプリケーションジョブのリソース消費量の制御..................................... 657レプリケーションポリシーの優先度...................................................... 657

第 15 章

第 16 章

目次


レプリケーションレポート....................................................................657レプリケーションスナップショット........................................................................658

ソースクラスタースナップショット......................................................... 658ターゲットクラスタースナップショット.................................................... 658

SyncIQ を使用したデータフェールオーバーおよびフェールバック........................... 659データフェールオーバー.....................................................................659データフェールバック.........................................................................660SmartLock コンプライアンスモードのフェールオーバーとフェールバック.......660SmartLock レプリケーションの制限事項.............................................661

SyncIQ の復旧時間と目標..........................................................................662RPO アラート................................................................................. 662

レプリケーションポリシーの優先度...................................................................662SyncIQ ライセンスの機能............................................................................. 663レプリケーションポリシーの作成...................................................................... 663

レプリケーションからのディレクトリの除外.............................................. 663レプリケーションでのファイルの除外......................................................664ファイル条件オプション...................................................................... 664デフォルトレプリケーションポリシー設定の構成 ................................... 666レプリケーションポリシーの作成..........................................................667SyncIQ ドメインの作成................................................................... 668レプリケーションポリシーの評価 .........................................................668

リモートクラスターへのレプリケーションの管理.................................................... 668レプリケーションジョブの開始.............................................................669レプリケーションジョブの一時停止 .....................................................669レプリケーションジョブの再開 ............................................................ 669レプリケーションジョブのキャンセル ..................................................... 669アクティブなレプリケーションジョブの表示 ............................................ 670レプリケーションジョブの情報 ............................................................ 670

SyncIQ を使用したデータフェールオーバーおよびフェールバックの開始..................670セカンダリクラスタへのデータフェールオーバー ....................................... 671フェイルオーバー動作の復元............................................................. 672プライマリクラスタへのデータフェールバック ...........................................672

古い SmartLock ディレクトリのディザスタリカバリの実行..................................... 674ターゲットクラスタでの SmartLock コンプライアンスディレクトリのリカバリ . 674SmartLock コンプライアンスディレクトリの移行 ...................................675

レプリケーションポリシーの管理.......................................................................676レプリケーションポリシーの変更 .........................................................676レプリケーションポリシーの削除 .........................................................676レプリケーションポリシーの有効化または無効化 .................................. 677レプリケーションポリシーの表示 ......................................................... 677レプリケーションポリシー情報 ............................................................678

ローカルクラスターへのレプリケーションの管理....................................................678ローカルクラスターへのレプリケーションのキャンセル ............................... 679ローカルターゲットの関連づけの解除 ................................................ 679ローカルクラスターをターゲットとするレプリケーションポリシーの表示......... 679リモートレプリケーションポリシー情報 ................................................ 680

レプリケーションパフォーマンスルールの管理.....................................................680ネットワークトラフィックルールの作成 .................................................680ファイル操作ルールの作成 ................................................................681パフォーマンスルールの変更 ............................................................. 681パフォーマンスルールの削除 ............................................................. 681パフォーマンスルールの有効化または無効化 ...................................... 681

目次


パフォーマンスルールの表示 .............................................................682レプリケーションレポートの管理...................................................................... 682

デフォルトレプリケーションレポート設定の構成 ................................... 682レプリケーションレポートの削除......................................................... 683レプリケーションレポートの表示 ........................................................ 683レプリケーションレポート情報............................................................ 684

失敗したレプリケーションジョブの管理............................................................. 685レプリケーションポリシーの解決 .........................................................685レプリケーションポリシーのリセット ...................................................... 685フルレプリケーションまたは差分レプリケーションの実行...........................686

データレプリケーションコマンド........................................................................687isi sync policies create................................................................. 687isi sync policies modify.................................................................697isi sync policies delete..................................................................709isi sync policies list....................................................................... 710isi sync policies reset.................................................................... 713isi sync policies resolve.................................................................713isi sync policies view.....................................................................713isi sync policies disable................................................................. 714isi sync policies enable..................................................................714isi sync jobs start..........................................................................715isi sync jobs pause........................................................................ 715isi sync jobs resume......................................................................716isi sync jobs cancel....................................................................... 716isi sync jobs list.............................................................................716isi sync jobs view.......................................................................... 717isi sync jobs reports list................................................................ 718isi sync jobs reports view..............................................................718isi sync settings modify................................................................ 719isi sync settings view................................................................... 720isi sync target cancel................................................................... 720isi sync target list......................................................................... 721isi sync target view...................................................................... 722isi sync target break.....................................................................722isi sync target reports list............................................................ 723isi sync target reports view..........................................................725isi sync target reports subreports list...........................................725isi sync target reports subreports view........................................ 727isi sync reports list....................................................................... 727isi sync reports view.................................................................... 729isi sync reports rotate.................................................................. 729isi sync reports subreports list..................................................... 729isi sync reports subreports view................................................... 731isi sync recovery allow-write........................................................732isi sync recovery resync-prep...................................................... 733isi sync rules create..................................................................... 733isi sync rules modify.....................................................................734isi sync rules delete......................................................................735isi sync rules list...........................................................................736isi sync rules view.........................................................................737

FlexProtect を使用したデータレイアウト 739FlexProtect の概要....................................................................................740ファイルストライピング....................................................................................740

第 17 章

目次


リクエストされたデータ保護.............................................................................740FlexProtect データリカバリ........................................................................... 741

SmartFail......................................................................................741ノード障害..................................................................................... 742

データ保護のリクエスト.................................................................................. 742リクエストされた保護設定..............................................................................743リクエストされた保護ディスク領域の使用量...................................................... 743

NDMPバックアップとリカバリの概要 745NDMPバックアップおよびリストアの概要.......................................................... 746

IsilonSD Edge の NDMPバックアップとリカバリ....................................746NDMP 2方向バックアップ.............................................................................746NDMP 3方向バックアップ.............................................................................747NDMP 3方向操作のための優先 IP の設定................................................... 747NDMP マルチストリームのバックアップ/リカバリ..................................................747スナップショットベースの増分バックアップ...........................................................748NDMP プロトコルのサポート.......................................................................... 749サポートされる DMA.....................................................................................749NDMP ハードウェアのサポート........................................................................750NDMPバックアップの制限事項..................................................................... 750NDMP のパフォーマンスに関する推奨事項..................................................... 750NDMPバックアップからのファイルとディレクトリの除外......................................... 752基本 NDMPバックアップ設定の構成............................................................. 753

NDMPバックアップの構成と有効化...................................................753NDMPバックアップの無効化 ........................................................... 754NDMPバックアップの設定 ...............................................................754NDMPバックアップ設定の表示 ........................................................754

NDMP ユーザーアカウントの管理..................................................................754NDMP ユーザーアカウントの作成 .................................................... 754NDMP ユーザーアカウントのパスワードの変更 ................................... 755NDMP ユーザーアカウントの削除 .................................................... 755NDMP ユーザーアカウントの表示 .................................................... 755

NDMPバックアップデバイスの管理................................................................ 755NDMPバックアップデバイスの検出 ...................................................756NDMPバックアップデバイスのエントリー名の変更 ............................... 756切り離された NDMPバックアップデバイスのデバイスエントリーの削除.....756NDMPバックアップデバイスの表示 ...................................................756

NDMP のファイバーチャネルポートの管理.......................................................757NDMPバックアップポート設定の変更 ...............................................757NDMPバックアップポートの有効化または無効化................................757NDMPバックアップポートの表示 ......................................................757NDMPバックアップポートの設定 ..................................................... 758

NDMP優先 IP設定項目の管理................................................................. 758NDMP優先 IP設定の作成........................................................... 758NDMP優先 IP設定の変更........................................................... 759NDMP優先 IP設定のリスト........................................................... 759NDMP優先 IP設定の表示........................................................... 759NDMP優先 IP設定の削除........................................................... 760

NDMP セッションの管理............................................................................... 760NDMP セッションの終了 ................................................................. 760NDMP セッションの表示 ................................................................. 760

第 18 章

目次


NDMP セッション情報 .................................................................... 760NDMP再開可能バックアップの管理.............................................................. 762

EMC NetWorker の NDMP再開可能バックアップの構成...................763NDMP再開可能バックアップコンテキストの表示................................ 763NDMP再開可能バックアップコンテキストの削除................................ 764NDMP再開可能バックアップ設定の構成.......................................... 764NDMP再開可能バックアップ設定の表示.......................................... 764

NDMP リストア処理.................................................................................... 764NDMPパラレルリストア処理........................................................... 765NDMP シリアルリストア処理............................................................ 765NDMP シリアルリストア処理の指定..................................................765

デフォルトの NDMP変数の管理................................................................... 765パスのデフォルトの NDMP変数設定の指定.......................................765パスのデフォルトの NDMP変数設定の変更.......................................766パスのデフォルト NDMP設定の表示.................................................766NDMP環境変数...........................................................................767バックアップ/リストア処理のための環境変数の設定...............................773

スナップショットベースの増分バックアップの管理................................................. 774ディレクトリのスナップショットベースの増分バックアップの有効化............... 774スナップショットベースの増分バックアップのスナップショットの削除..............774スナップショットベースの増分バックアップのスナップショットの表示..............774

NDMPバックアップログの表示 ......................................................................775NDMPバックアップコマンド........................................................................... 775

isi ndmp users create................................................................... 775isi ndmp users delete....................................................................775isi ndmp users list.........................................................................776isi ndmp users modify...................................................................776isi ndmp users view...................................................................... 777isi ndmp contexts delete.............................................................. 777isi ndmp contexts list................................................................... 778isi ndmp contexts view.................................................................778isi ndmp dumpdates delete...........................................................778isi ndmp dumpdates list................................................................779isi ndmp sessions delete...............................................................780isi ndmp sessions list....................................................................780isi ndmp sessions view..................................................................781isi ndmp settings diagnostics modify............................................782isi ndmp settings diagnostics view............................................... 782isi ndmp settings global modify.................................................... 782isi ndmp settings global view........................................................783isi ndmp settings preferred-ips create......................................... 784isi ndmp settings preferred-ips delete..........................................784isi ndmp settings preferred-ips list...............................................785isi ndmp settings preferred-ips modify.........................................785isi ndmp settings preferred-ips view............................................ 786isi ndmp settings variables create................................................ 787isi ndmp settings variables delete.................................................787isi ndmp settings variables list......................................................788isi ndmp settings variables modify................................................788isi fc settings list..........................................................................789isi fc settings modify....................................................................789isi fc settings view....................................................................... 790isi tape delete............................................................................... 791isi tape list.................................................................................... 791

目次


isi tape modify............................................................................. 792isi tape rescan..............................................................................793isi tape view................................................................................. 793

SmartLock によるファイル保存 795SmartLock の概要..................................................................................... 796コンプライアンスモード................................................................................... 796エンタープライズモード...................................................................................796SmartLock ディレクトリ................................................................................ 796IsilonSD Edge での SmartLock へのアクセス................................................. 797SmartLock によるレプリケーションとバックアップ................................................. 797SmartLock ライセンスの機能........................................................................798SmartLock に関する考慮事項.....................................................................798コンプライアンスクロックの設定....................................................................... 799コンプライアンスクロックの表示....................................................................... 799SmartLock ディレクトリの作成...................................................................... 799

保存期間......................................................................................799自動コミット期間............................................................................ 800空でないディレクトリへのエンタープライズディレクトリの作成....................800SmartLock ディレクトリの作成......................................................... 800

SmartLock ディレクトリの管理.......................................................................801SmartLock ディレクトリの変更..........................................................801SmartLock ディレクトリ設定の表示.................................................. 802SmartLock ディレクトリ構成の設定.................................................. 802

SmartLock ディレクトリのファイルの管理......................................................... 805UNIX コマンドラインを使用した保存期間の設定................................ 806Windows Powershell を使用した保存期間の設定........................... 806UNIX コマンドラインを使用したファイルのWORM状態へのコミット........ 806Windows エクスプローラを使用したファイルのWORM状態へのコミット...807SmartLock ディレクトリ内にあるすべてのファイルの保存期間の上書き....807WORM状態にコミットされたファイルの削除 ....................................... 807ファイルのWORM ステータスの表示.................................................. 808

SmartLock コマンド.................................................................................... 809isi worm domains create.............................................................. 809isi worm domains modify.............................................................. 813isi worm domains list.....................................................................817isi worm domains view .................................................................818isi worm cdate set........................................................................ 819isi worm cdate view......................................................................819isi worm files delete......................................................................819isi worm files view........................................................................820

保護ドメイン 821保護ドメインの概要......................................................................................822

IsilonSD Edge用の保護ドメイン......................................................822保護ドメインに関する考慮事項..................................................................... 822保護ドメインの作成 .....................................................................................823保護ドメインの削除 .....................................................................................823

処理中でないデータの暗号化 825

第 19 章

第 20 章

第 21 章

目次


処理中でないデータの暗号化の概要............................................................. 826IsilonSD Edge の静止データ暗号化.................................................826

自己暗号化ドライブ.....................................................................................826自己暗号化ドライブのデータセキュリティ..........................................................826自己暗号化ドライブで構成されたクラスタへのデータ移行................................... 827シャーシとドライブの状態............................................................................... 827SmartFailed ドライブの REPLACE状態....................................................... 830SmartFailed ドライブの ERASE状態............................................................832

SmartQuotas 833SmartQuotas の概要................................................................................. 834クォータのタイプ............................................................................................ 834デフォルトクォータタイプ................................................................................835使用率のアカウンティングと制限..................................................................... 837ディスク使用量の計算.................................................................................. 838クォータ通知................................................................................................839クォータ通知ルール.......................................................................................839クォータレポート...........................................................................................840クォータの作成............................................................................................. 841

アカウンティングクォータの作成...........................................................841強制クォータの作成......................................................................... 841

クォータの管理.............................................................................................842クォータの検索................................................................................842クォータの管理................................................................................842クォータ構成ファイルのエクスポート......................................................843クォータ構成ファイルのインポート........................................................ 844クォータ通知の管理.........................................................................844メールクォータ通知メッセージ............................................................ 846クォータレポートの管理....................................................................848基本的なクォータ設定.....................................................................850アドバイザリ制限クォータ通知ルールの設定......................................... 851ソフト制限クォータ通知ルールの設定..................................................851ハード制限クォータ通知ルールの設定................................................ 852制限通知の設定............................................................................853クォータレポートの設定....................................................................854

クォータコマンド........................................................................................... 855isi quota quotas create................................................................ 855isi quota quotas delete................................................................. 857isi quota quotas modify................................................................859isi quota quotas list...................................................................... 862isi quota quotas view................................................................... 864isi quota quotas notifications clear.............................................. 865isi quota quotas notifications create............................................ 867isi quota quotas notifications delete.............................................870isi quota quotas notifications disable............................................872isi quota quotas notifications list..................................................874isi quota quotas notifications modify............................................875isi quota quotas notifications view............................................... 879isi quota reports create................................................................ 881isi quota reports delete.................................................................881isi quota reports list..................................................................... 882isi quota settings mappings create...............................................883

第 22 章

目次


isi quota settings mappings delete............................................... 884isi quota settings mappings list.................................................... 884isi quota settings mappings modify..............................................885isi quota settings mappings view................................................. 885isi quota settings notifications clear.............................................885isi quota settings notifications create.......................................... 886isi quota settings notifications delete...........................................888isi quota settings notifications list................................................889isi quota settings notifications modify......................................... 890isi quota settings notifications view............................................. 893isi quota settings reports modify..................................................894isi quota settings reports view..................................................... 895

ストレージプール 897ストレージプールの概要................................................................................898ストレージプール機能.................................................................................. 898

IsilonSD Edge でサポートされているストレージプールの機能................900自動プロビジョニング.....................................................................................900ノードプール................................................................................................ 901

ノードクラスの互換性......................................................................902SSD互換性................................................................................. 902手動ノードプール............................................................................903

仮想ホットスペア.........................................................................................903スピルオーバー.............................................................................................904推奨される保護.......................................................................................... 904保護ポリシー...............................................................................................905SSD戦略..................................................................................................905グローバルネームスペースの高速化................................................................ 906L3 キャッシュの概要......................................................................................907

L3 キャッシュへの移行......................................................................908NL シリーズおよび HD シリーズのノードプール上の L3 キャッシュ.............908

階層..........................................................................................................909ファイルプールポリシー..................................................................................909コマンドラインインターフェイスを使用したノードプールの管理.............................. 910

ノードクラス互換性の作成............................................................... 910互換性のあるノードプールのマージ..................................................... 911ノードクラス互換性の削除................................................................912SSD互換性の作成........................................................................ 912SSD互換性の削除........................................................................ 913ノードプールの手動での作成............................................................ 914手動で管理されているノードプールへのノードの追加............................ 915ノードプールの名前または保護ポリシーの変更.....................................915手動で管理されているノードプールからのノードの削除..........................915デフォルトのストレージプール設定の変更............................................ 916SmartPools の設定....................................................................... 916

コマンドラインインターフェイスからの L3 キャッシュの管理.................................... 919新規ノードプールのデフォルトとしての L3 キャッシュの設定..................... 919特定のノードプール上での L3 キャッシュの有効化 ............................... 919ノードプールのストレージドライブへの SSD の復元.............................. 920

階層の管理................................................................................................920階層の作成...................................................................................920階層内のノードプールの追加または移動............................................ 921

第 23 章

目次


階層の名前の変更......................................................................... 921階層の削除................................................................................... 921

ファイルプールポリシーの作成........................................................................ 921新しいファイルプールポリシーの作成..................................................922有効なワイルドカード文字................................................................ 923デフォルトファイルプールの要求された保護設定..................................923デフォルトファイルプール I/O最適化設定......................................... 925

ファイルプールポリシーの管理........................................................................925ファイルプールポリシーの変更...........................................................926デフォルトファイルプールポリシー設定の構成......................................927ファイルプールポリシーの優先順位づけ.............................................. 927ファイルプールポリシーの削除...........................................................928

ストレージプールのモニタリング....................................................................... 928ストレージプールの監視...................................................................928ストレージプールの稼働状態の表示................................................. 929SmartPools ジョブの結果の表示..................................................... 929

ストレージプールのコマンド............................................................................ 930isi filepool apply........................................................................... 930isi filepool default-policy modify.................................................. 932isi filepool default-policy view......................................................935isi filepool policies create............................................................. 936isi filepool policies delete............................................................. 940isi filepool policies list................................................................... 941isi filepool policies modify............................................................ 942isi filepool policies view................................................................946isi filepool templates list...............................................................947isi filepool templates view............................................................ 948isi storagepool compatibilities class active create........................ 948isi storagepool compatibilities class active delete........................ 949isi storagepool compatibilities class active list............................. 950isi storagepool compatibilities class active view........................... 951isi storagepool compatibilities class available list......................... 952isi storagepool compatibilities ssd active create.......................... 953isi storagepool compatibilities ssd active delete...........................954isi storagepool compatibilities ssd active list................................955isi storagepool compatibilities ssd active view............................. 957isi storagepool compatibilities ssd available list............................ 957isi storagepool health...................................................................958isi storagepool list........................................................................958isi storagepool nodepools create................................................. 959isi storagepool nodepools delete..................................................960isi storagepool nodepools list.......................................................960isi storagepool nodepools modify................................................. 961isi storagepool nodepools view.................................................... 962isi storagepool settings modify.................................................... 963isi storagepool settings view........................................................964isi storagepool tiers create.......................................................... 965isi storagepool tiers delete...........................................................965isi storagepool tiers list................................................................966isi storagepool tiers modify..........................................................966isi storagepool tiers view..............................................................967

CloudPools 969CloudPools の概要.................................................................................... 970

第 24 章

目次


IsilonSD Edge による CloudPools へのアクセス................................. 970サポートされているクラウドプロバイダー.............................................................971

EMC Isilon.................................................................................... 971EMC ECS アプライアンス..................................................................971Virtustream ストレージクラウド........................................................ 972Amazon S3.................................................................................. 972Microsoft Azure...........................................................................972

CloudPools の概念.................................................................................... 973CloudPools ファイルの処理.......................................................................... 974ファイルプールポリシーによるファイルのアーカイブ............................................... 975

CloudPools アクションを含むサンプルポリシー.....................................975ファイルプールポリシーの順序について................................................976ファイルプールポリシーのクラウドアーカイブのパラメーター...................... 976クラウドアーカイブポリシーのファイル一致オプション...............................980クラウドとローカルストレージポリシーのアクションの組み合わせ............... 982

クラウドからのファイルデータの取得................................................................. 982クラウドデータのインラインアクセス..................................................... 982クラウドからのファイルのリコール.......................................................... 982

その他の OneFS の機能と CloudPools の相互運用性....................................983クラウドデータの圧縮および暗号化................................................... 983NFS インラインアクセス....................................................................983SMB インラインアクセス...................................................................984インラインアクセスをサポートするその他のプロトコル.............................. 984SyncIQ の相互運用性...................................................................984クラウドデータの NDMPバックアップとリストア...................................... 987スナップショットを使用した場合の CloudPools の動作..........................987CloudPools と SmartLock の連携.................................................. 988CloudPools と SmartQuotas......................................................... 988CloudPools と SmartDedupe.........................................................988

CloudPools のベストプラクティス................................................................... 989クラウドデータのアーカイブとリコールでのタイムスタンプの使用................ 989CloudPools のアーカイブとファイルサイズ........................................... 989CloudPools専用アカウントの作成................................................... 989

CloudPools のトラブルシューティング.............................................................. 990CloudPools の予期される動作........................................................990CloudPools のログ......................................................................... 992CloudPools のトラブルシューティング..................................................993

Cloudpools でのネットワークプロキシサーバの使用......................................... 993ネットワークプロキシの作成.............................................................. 994ネットワークプロキシリストの表示...................................................... 994ネットワークプロキシプロパティの表示................................................ 994ネットワークプロキシの変更.............................................................. 995ネットワークプロキシの削除.............................................................. 995

クラウドアカウントの管理...............................................................................996クラウドストレージアカウントの作成................................................... 996クラウドストレージアカウントのリスト................................................... 997クラウドストレージアカウントの表示................................................... 997クラウドストレージアカウントの変更................................................... 998クラウドストレージアカウントの削除................................................... 998

CloudPools の管理.................................................................................... 999CloudPool の作成......................................................................... 999CloudPools のリスト....................................................................... 999

目次


CloudPool情報の表示................................................................ 1000CloudPool の変更........................................................................1000CloudPool の削除........................................................................ 1001

ファイルプールポリシーによるファイルのアーカイブ.............................................. 1001新しいファイルプールポリシーの作成.................................................1001ファイルプールポリシーのリスト......................................................... 1002ファイルプールポリシーの表示......................................................... 1002ファイルプールポリシーの変更......................................................... 1003ファイルプールポリシーの削除......................................................... 1003指定したファイルまたはパスへのファイルプールポリシーの適用...............1003クラウドへのファイルの直接アーカイブ................................................. 1004

セカンダリクラスターからクラウドデータへのアクセスの構成................................. 1004使用可能なクラスターのリスト..........................................................1005セカンダリクラスター上のクラウドデータへのアクセスの許可................... 1005ソースクラスターからデータへのアクセス権の削除................................ 1006

クラウドジョブの管理...................................................................................1006クラウドジョブのリストの表示............................................................ 1007クラウドジョブの表示...................................................................... 1007クラウドジョブの一時停止...............................................................1008一時停止したクラウドジョブの再開.................................................. 1008クラウドジョブのキャンセル............................................................... 1009

CloudPools の設定の管理.........................................................................1009クラウド設定の表示....................................................................... 1009クラウドのデフォルト設定の変更........................................................1010新しいマスター暗号化キーの生成.....................................................1010

CloudPools コマンドリファレンス....................................................................1010isi cloud access add..................................................................... 1011isi cloud access list...................................................................... 1011isi cloud access remove...............................................................1012isi cloud access view................................................................... 1013isi cloud accounts create.............................................................1014isi cloud accounts delete.............................................................1015isi cloud accounts list.................................................................. 1016isi cloud accounts modify............................................................ 1017isi cloud accounts view............................................................... 1019isi cloud archive.......................................................................... 1019isi cloud jobs cancel....................................................................1020isi cloud jobs files list...................................................................1021isi cloud jobs list......................................................................... 1022isi cloud jobs pause.....................................................................1023isi cloud jobs resume.................................................................. 1024isi cloud jobs view.......................................................................1024isi cloud pools create.................................................................. 1025isi cloud pools delete.................................................................. 1026isi cloud pools list....................................................................... 1026isi cloud pools modify................................................................. 1027isi cloud pools view.....................................................................1029isi cloud proxies create............................................................... 1029isi cloud proxies delete............................................................... 1030isi cloud proxies list..................................................................... 1031isi cloud proxies modify.............................................................. 1032isi cloud proxies view.................................................................. 1033isi cloud recall.............................................................................1033isi cloud restore_coi................................................................... 1034

目次


isi cloud settings modify............................................................. 1035isi cloud settings regenerate-encryption-key............................. 1036isi cloud settings view.................................................................1037

システムジョブ 1039システムジョブの概要..................................................................................1040システムジョブライブラリ...............................................................................1040ジョブの操作.............................................................................................. 1043ジョブのパフォーマンスへの影響..................................................................... 1044ジョブの優先度.......................................................................................... 1045システムジョブの管理..................................................................................1045

ジョブの開始................................................................................. 1045ジョブの一時停止.......................................................................... 1046ジョブの変更................................................................................. 1046ジョブの再開................................................................................. 1047ジョブのキャンセル...........................................................................1047ジョブタイプの設定の変更.............................................................. 1048アクティブなジョブの表示................................................................. 1048ジョブ履歴の表示.......................................................................... 1049

インパクトポリシーの管理............................................................................ 1049インパクトポリシーの作成................................................................1049インパクトポリシー設定の表示........................................................ 1050インパクトポリシーの変更............................................................... 1050インパクトポリシーの削除................................................................ 1051

ジョブのレポートと統計の表示.......................................................................1052進行中のジョブの統計情報の表示.................................................. 1052完了したジョブのレポートの表示.......................................................1052

ジョブ管理コマンド...................................................................................... 1053isi job events list......................................................................... 1053isi job jobs cancel....................................................................... 1055isi job jobs list............................................................................. 1056isi job jobs modify....................................................................... 1057isi job jobs pause........................................................................ 1058isi job jobs resume...................................................................... 1059isi job jobs start.......................................................................... 1059isi job jobs view........................................................................... 1061isi job policies create.................................................................. 1062isi job policies delete...................................................................1063isi job policies list........................................................................1064isi job policies modify................................................................. 1065isi job policies view..................................................................... 1066isi job reports list........................................................................ 1066isi job reports view..................................................................... 1068isi job statistics list..................................................................... 1068isi job statistics view.................................................................. 1069isi job types list...........................................................................1070isi job status................................................................................ 1071isi job types modify.....................................................................1072isi job types view........................................................................ 1073

ネットワーク 1075ネットワークの概要...................................................................................... 1076

第 25 章

第 26 章

目次


内部ネットワークについて..............................................................................1076内部 IP アドレスの範囲.................................................................. 1076内部ネットワークのフェイルオーバー....................................................1077IsilonSD Edge の内部ネットワークの構成.........................................1077

外部ネットワークについて..............................................................................1077グループネット................................................................................ 1078サブネット......................................................................................1078IP アドレスプール...........................................................................1079SmartConnect モジュール............................................................. 1080ノードのプロビジョニングルール..........................................................1083ルーティングオプション..................................................................... 1084

内部ネットワークの設定の管理.....................................................................1085内部 IP アドレス範囲の追加または削除...........................................1085内部ネットワークネットマスクの変更................................................. 1085内部ネットワークフェイルオーバーの構成と有効化.............................. 1086内部ネットワークフェイルオーバーの無効化........................................ 1087

グループネットの管理...................................................................................1087グループネットの作成...................................................................... 1087グループネットの変更......................................................................1088グループネットの削除......................................................................1088グループネットの表示......................................................................1089

外部ネットワークのサブネットの管理...............................................................1090サブネットの作成........................................................................... 1090サブネットの変更........................................................................... 1090サブネットの削除............................................................................ 1091サブネットの表示........................................................................... 1092SmartConnect サービスの IP アドレスの構成................................... 1092VLAN タグ機能の有効化または無効化........................................... 1093DSR アドレスの追加または削除...................................................... 1094

IP アドレスプールの管理............................................................................. 1094IP アドレスプールの作成................................................................ 1094IP アドレスプールの変更................................................................ 1095IP アドレスプールの削除................................................................ 1096IP アドレスプールの表示................................................................ 1096IP アドレス範囲の追加または削除................................................... 1097IP アドレスアロケーションの構成...................................................... 1098

SmartConnect設定の管理...................................................................... 1098SmartConnect DNS ゾーンの構成................................................ 1098SmartConnect サービスサブネットの指定........................................1099ノードの一時停止または再開.......................................................... 1100接続バランシングポリシーの構成......................................................1100IP フェイルオーバーポリシーの構成.................................................... 1101

接続の再バランシングの管理........................................................................ 1102IP再バランスポリシーの構成...........................................................1102IP アドレスの手動での再バランシング.................................................1103

ネットワークインターフェイスメンバーの管理..................................................... 1103ネットワークインターフェイスの追加または削除.....................................1103リンク統合モードの指定...................................................................1104ネットワークインターフェイスの表示.................................................... 1106

ノードプロビジョニング規則の管理................................................................. 1106ノードプロビジョニング規則の作成.....................................................1106ノードプロビジョニング規則の変更.....................................................1107

目次


ノードプロビジョニング規則の削除.....................................................1107ノードプロビジョニング規則の表示.....................................................1108

ルーティングオプションの管理........................................................................ 1109ソースベースルーティングの有効化または無効化................................1109静的経路の追加または削除........................................................... 1109

DNS キャッシュ設定の管理...........................................................................1110DNS キャッシュ設定........................................................................ 1110

ネットワーキングコマンド.................................................................................1111isi network dnscache flush........................................................... 1111isi network dnscache modify........................................................ 1111isi network dnscache view........................................................... 1114isi network external modify..........................................................1114isi network external view............................................................. 1115isi network groupnets create....................................................... 1115isi network groupnets delete........................................................1116isi network groupnets list............................................................. 1117isi network groupnets modify.......................................................1118isi network groupnets view......................................................... 1120isi network interfaces list............................................................ 1120isi network pools create .............................................................. 1121isi network pools delete...............................................................1126isi network pools list....................................................................1126isi network pools modify..............................................................1128isi network pools rebalance-ips................................................... 1134isi network pools sc-resume-nodes............................................. 1135isi network pools sc-suspend-nodes............................................1135isi network pools view................................................................. 1136isi network rules create............................................................... 1136isi network rules delete............................................................... 1137isi network rules list.....................................................................1137isi network rules modify.............................................................. 1139isi network rules view..................................................................1140isi network sc-rebalance-all........................................................ 1140isi network subnets create...........................................................1141isi network subnets delete...........................................................1142isi network subnets list................................................................1143isi network subnets modify..........................................................1144isi network subnets view............................................................. 1146

Hadoop 1149Hadoop の概要......................................................................................... 1150Hadoop のアーキテクチャ............................................................................. 1150

コンピューティングレイヤー................................................................ 1150ストレージレイヤー......................................................................... 1150

OneFS での Hadoop の実装方法................................................................ 1151OneFS がサポートする Hadoop ディストリビューション........................................1151HDFS ファイルとディレクトリ............................................................................1151Hadoop のユーザーおよびグループのアカウント.................................................1152HDFS認証方法........................................................................................1152HDFS と SmartConnect............................................................................ 1152WebHDFS................................................................................................1153安全な偽装...............................................................................................1153Ambari エージェント.................................................................................... 1154

第 27 章

目次


HDFS ワイヤ暗号化................................................................................... 1154Apache Ranger のサポート......................................................................... 1155仮想 HDFS ラック....................................................................................... 1155OneFS での Hadoop のデプロイ................................................................... 1155HDFS サービスの管理.................................................................................1156

HDFS サービスの有効化または無効化............................................. 1156HDFS サービス設定の構成.............................................................1156HDFS サービス設定....................................................................... 1157HDFS設定の表示........................................................................ 1157HDFS のログレベルの変更............................................................. 1158HDFS のログレベルの表示............................................................. 1158

HDFS ルートディレクトリの設定.................................................................... 1158HDFS認証方法の構成..............................................................................1159

HDFS認証方法の設定.................................................................1159サポートされている HDFS認証方式.................................................1159Hadoop クライアントにおける HDFS認証プロパティの構成.................. 1160

ローカル Hadoop ユーザーの作成.................................................................. 1161アクセスゾーンのWebHDFS の有効化/無効化............................................. 1161安全な偽装の構成..................................................................................... 1161

プロキシユーザーの作成.................................................................. 1161プロキシユーザーの変更..................................................................1162プロキシユーザーの削除..................................................................1162プロキシユーザーメンバーの一覧表示.............................................. 1162プロキシユーザーの表示..................................................................1163

Ambari エージェントの設定.......................................................................... 1164Ranger プラグイン設定の編集......................................................................1164HDFS ワイヤ暗号化の構成......................................................................... 1165仮想 HDFS ラックの管理............................................................................. 1165

HDFS の仮想ラックの作成.............................................................. 1165HDFS の仮想ラックの変更.............................................................. 1166仮想 HDFS ラックの削除................................................................ 1166仮想 HDFS ラックの表示................................................................ 1167

HDFS コマンド............................................................................................1168isi hdfs log-level modify.............................................................. 1168isi hdfs log-level view.................................................................. 1168isi hdfs proxyusers create........................................................... 1168isi hdfs proxyusers modify...........................................................1170isi hdfs proxyusers delete............................................................1172isi hdfs proxyusers members list..................................................1172isi hdfs proxyusers list................................................................. 1173isi hdfs proxyusers view.............................................................. 1174isi hdfs racks create.................................................................... 1175isi hdfs racks modify................................................................... 1175isi hdfs racks delete.....................................................................1177isi hdfs racks list..........................................................................1177isi hdfs racks view....................................................................... 1178isi hdfs ranger-plugin settings modify......................................... 1178isi hdfs ranger-plugin settings view............................................. 1179isi hdfs settings modify............................................................... 1179isi hdfs settings view...................................................................1180

アンチウィルス 1183第 28 章

目次


アンチウイルスの概要................................................................................... 1184オンアクセススキャン................................................................................... 1184アンチウイルスポリシースキャン......................................................................1185個別ファイルのスキャン................................................................................. 1185WORM ファイルとウイルス対策..................................................................... 1185アンチウイルススキャンレポート..................................................................... 1185ICAP サーバー............................................................................................1186アンチウイルスによる脅威検出時の対応......................................................... 1186グローバルアンチウイルス設定の構成............................................................. 1187

アンチウイルススキャンに特定のファイルを含める ................................. 1187オンアクセススキャン設定の構成 .................................................... 1188アンチウイルス脅威検出時対応設定の構成 ..................................... 1188アンチウイルスレポートの保存設定の構成......................................... 1188アンチウイルススキャンの有効化または無効化....................................1188

ICAP サーバの管理.................................................................................... 1189ICAP サーバーの追加と接続 .......................................................... 1189ICAP サーバーからの一時的な切断 .................................................1189ICAP サーバへの再接続 ................................................................ 1189ICAP サーバーの削除 ....................................................................1189

アンチウイルスポリシーの作成 ...................................................................... 1190アンチウイルスポリシーの管理....................................................................... 1190

アンチウイルスポリシーの変更 ......................................................... 1190アンチウイルスポリシーの削除 ......................................................... 1190アンチウイルスポリシーの有効化または無効化 ................................... 1191アンチウイルスポリシーの表示 .......................................................... 1191

アンチウイルススキャンの管理........................................................................ 1191ファイルのスキャン............................................................................ 1191アンチウイルスポリシーの手動実行.................................................... 1191実行中のアンチウイルススキャンの停止............................................. 1192

アンチウイルス脅威の管理............................................................................ 1192ファイルの手動隔離 ....................................................................... 1192ファイルの再スキャン........................................................................ 1192隔離領域からのファイルの削除 ........................................................1192ファイルの手動トランケート............................................................... 1193脅威の表示 ................................................................................. 1193アンチウイルス脅威情報.................................................................. 1193

アンチウイルスレポートの管理....................................................................... 1194アンチウイルスレポートの表示 ......................................................... 1194アンチウイルスイベントの表示...........................................................1194

アンチウイルスコマンド.................................................................................. 1194isi antivirus policies create.......................................................... 1194isi antivirus policies delete...........................................................1196isi antivirus policies list................................................................ 1197isi antivirus policies start............................................................. 1198isi antivirus policies modify..........................................................1198isi antivirus policies view............................................................. 1201isi antivirus release......................................................................1201isi antivirus scan..........................................................................1201isi antivirus settings modify........................................................ 1202isi antivirus settings view............................................................1205isi antivirus quarantine................................................................1205isi antivirus reports scans list..................................................... 1205

目次


isi antivirus reports scans view................................................... 1207isi antivirus reports threats list................................................... 1207isi antivirus reports threats view.................................................1209isi antivirus reports delete.......................................................... 1209isi antivirus servers create.......................................................... 1210isi antivirus servers delete...........................................................1210isi antivirus servers list.................................................................1211isi antivirus servers modify.......................................................... 1212isi antivirus servers view............................................................. 1212isi antivirus status....................................................................... 1212

IsilonSD Edge 1215EMC IsilonSD Edge ストレージおよびアーキテクチャ........................................1216IsilonSD クラスターの概要............................................................................1217EMC IsilonSD Edge ライセンスの概要..........................................................1217IsilonSD Management Server の概要........................................................1219IsilonSD クラスターの導入と構成................................................................. 1220

VMware統合 1221VMware統合の概要................................................................................ 1222VAAI........................................................................................................ 1222VASA.......................................................................................................1222

Isilon の VASA アラーム................................................................. 1222VASA ストレージ機能.................................................................... 1223

VASA サポートの構成................................................................................ 1223VASA の有効化........................................................................... 1224Isilon ベンダープロバイダー証明書のダウンロード................................ 1224自己署名証明書の生成................................................................1224Isilon ベンダープロバイダーの追加................................................... 1226

VASA の無効化または再有効化................................................................. 1226VASA ストレージ表示障害のトラブルシューティング.......................................... 1227

第 29 章

第 30 章

目次


第 1 章

このガイドの概要

本セクションでは、以下の項目について説明します。

l このガイドについて..................................................................................................34l Isilon スケールアウト NAS の概要........................................................................... 34l IsilonSD Edge の概要.......................................................................................... 34l サポートの問い合わせ先.........................................................................................34

このガイドの概要 33

このガイドについてこのガイドでは、Isilon OneFS のコマンドラインインターフェイスを使用してクラスターの構成、管理、監視機能にアクセスする方法を説明します。また、UNIX の標準コマンドセットを拡張するOneFS固有のすべてのコマンドについても説明します。このガイドの情報のほとんどは、VMware ESXi ハイパーバイザーで実行される OneFS のソフトウェアデファインドバージョン IsilonSD Edge にも該当します。相違がある点は、ガイド中のそれぞれのセクションでハイライト表示されます。マニュアルの精度、構成、品質を向上するため、ご意見をお待ちしております。https://www.research.net/s/isi-docfeedback にフィードバックを送信してください。URL からフィードバックを送信できない場合は、[email protected]宛に E メールでメッセージを送信してください。

Isilon スケールアウト NASの概要EMC Isilon スケールアウト NAS ストレージプラットフォームは、モジュラーハードウェアと統合型ソフトウェアを組み合わせて、構造化されていないデータを活用します。EMC Isilon クラスターは、OneFS オペレーティングシステムにより、グローバルネームスペースによる拡張性に優れたストレージプールを提供します。プラットフォームの統合型ソフトウェアは、次の機能を管理するための、一元化されたWeb ベースとコマンドラインの管理機能を提供します。l 分散ファイルシステムを実行するクラスターl 容量とパフォーマンスを追加するスケールアウトノードl ファイルおよび階層化を管理するストレージオプションl 柔軟なデータ保護と高可用性l コストを管理しリソースを最適化するソフトウェアモジュール

IsilonSD Edgeの概要IsilonSD Edgeは VMware ESXi ハイパーバイザー上で実行される、OneFS のソフトウェアデファインドのバージョンで、コモディティハードウェア上でスケールアウト NAS の機能を実現します。OneFS ノードは、ホストで使用できるハードウェアリソースを使用して、VMware ESXi ホストに導入されている OneFS クラスター内の仮想マシンとして作成できます。仮想 OneFS クラスターおよびノードはそれぞれ、IsilonSD クラスター、IsilonSD ノードと呼ばれます。IsilonSD Edgeは、OneFS でサポートされているほとんどの機能とソフトウェアモジュールをサポートしています。また、一元化されたWeb ベースおよびコマンドラインの管理も提供します。これはOneFS と同じであり、クラスターとノードの管理タスクを管理します。詳細については、「IsilonSDEdge インストールおよび管理ガイド」を参照してください。

サポートの問い合わせ先EMC Isilon製品に関して質問がある場合は、EMC Isilon テクニカルサポートまでお問い合わせください。



https://www.research.net/s/isi-docfeedback

https://www.research.net/s/isi-docfeedback

mailto:[email protected]

オンラインサポート

l ライブチャットl サービスリクエストの作成

電話によるサポート

l 米国：1-800-SVC-4EMC (1-800-782-4362)

l カナダ：1-800-543-4782

l その他の国：1-508-497-7901

l 特定の国の最寄りの電話番号については、EMC カスタマーサポートセンターをご覧ください。　

サポート登録または利用

EMC オンラインポートへの登録または利用に関するご質問は、[email protected] までメールでお問い合わせください。

Isilon InfoHubs

Isilon Info Hubs のリストについては、EMC Isilon コミュニティネットワークのIsilon Info Hubs ページを参照してください。Isilon Info Hubs には、Isilon のドキュメントやビデオ、ブログ、ユーザーが投稿したコンテンツが整理されており、目的のテーマに関するコンテンツを簡単に検索できます。

IsilonSD EdgeのサポートIsilonSD Edge の無償バージョンを使用している場合は、EMC Isilon コミュニティネットワークを通じてサポートを利用できます。1 つまたは複数の IsilonSD Edge ライセンスを購入している場合、製品の有効なサポート契約を所持していれば、EMC Isilon テクニカルサポートにお問い合わせいただくことでサポートを受けることができます。

セルフサービスサポートEMC が提供する IA（Isilon Advisor）は、Isilon の一般的な問題にユーザーが自身で対応するための無料アプリケーションです。Isilon Advisorは、EMC Isilon テクニカルサポートエンジニアや現場担当者がサービスリクエストを解決する際に使用するアプリケーションと同じものです。これを使用すれば、問題の診断やトラブルシューティングが可能になります。クラスタの現在の稼働状態を分析したり、注意が必要なアイテムを特定したりすることもできます。これにより、将来的に発生する可能性がある問題を回避できます。Isilon Advisor の詳細や最新バージョンのダウンロードについては、https://help.psapps.emc.com/pages/viewpage.action?pageId=2853972 を参照してください。


セルフサービスサポート 35

https://support.emc.com/servicecenter/liveChat/

https://support.emc.com/servicecenter/createSR/

http://www.emc.com/collateral/contact-us/h4165-csc-phonelist-ho.pdf

http://www.emc.com/collateral/contact-us/h4165-csc-phonelist-ho.pdf

mailto:[email protected]

https://community.emc.com/docs/DOC-44304

https://community.emc.com/community/products/isilon

https://help.psapps.emc.com/pages/viewpage.action?pageId=2853972

https://help.psapps.emc.com/pages/viewpage.action?pageId=2853972

第 2 章

Isilon スケールアウト NAS


l OneFS ストレージアーキテクチャ............................................................................. 38l Isilon ノードコンポーネント......................................................................................38l 内部ネットワークと外部ネットワーク...........................................................................39l Isilon クラスター.....................................................................................................39l OneFS オペレーティングシステム..............................................................................41l ファイルシステムの構造.......................................................................................... 43l データ保護の概要................................................................................................. 46l VMware の統合...................................................................................................48l ソフトウェアモジュール.............................................................................................48

Isilon スケールアウト NAS 37

OneFS ストレージアーキテクチャEMC Isilonは、分散ファイルシステムを実行するノードのクラスターを作成することによる、スケールアウトアプローチを採用しています。OneFSは、ストレージアーキテクチャの 3 つのレイヤー（ファイルシステム、ボリュームマネージャー、データ保護）を、スケールアウト NAS クラスターに結合します。各ノードは、リソースをクラスターに追加します。各ノードは、グローバルに一貫性のある RAM を含んでおり、クラスターの規模が大きくなると処理速度が高くなります。その一方で、ファイルシステムは動的に拡張されて内容が再配分され、ディスクをパーティション分割してボリュームを作成する作業が不要になります。ノードは、クラスター全体にデータを分散させるピアとして動作します。データのセグメント分割と分散（ストライピングと呼ばれる処理）は、データを保護するだけでなく、任意のノードに接続しているユーザーがクラスター全体のパフォーマンスを活用できるようにします。OneFSは、分散ソフトウェアを使用して、コモディティハードウェア全体にデータを拡張します。各ノードは、データ要求の管理、パフォーマンスの向上、クラスターの容量の拡大を行ううえで役立ちます。クラスターを制御するマスターデバイスはなく、依存関係を実行するスレーブもありません。代わりに、各ノードでデータ要求の管理、パフォーマンスの向上、クラスターの容量の拡大に対処できます。

Isilon ノードコンポーネントストレージノードは、ラックマウント可能なアプライアンスとして、2U または 4U のラックマウント可能シャーシに次のコンポーネントが含まれており、LCD フロントパネルが搭載されています。含まれているコンポーネントは、CPU、RAM、NVRAM、ネットワークインターフェイス、InfiniBand アダプター、ディスクコントローラー、ストレージメディアです。Isilon クラスターは、3～144台のノードで構成されます。クラスターにノードを追加すると、クラスターの合計ディスク、キャッシュ、CPU、RAM、ネットワーク容量が増えます。OneFS では、RAM が単一の一貫性のあるキャッシュにグループ化され、ノード上のデータ要求は、どこかにキャッシュされたデータの恩恵を受けることができるようになっています。NVRAMは、高いスループットでデータを書き込み、書き込み操作を停電から保護するためにグループ化されます。クラスターが拡大するにつれて、スピンドルと CPU が組み合わせられて、スループット、容量、IOPS（1秒あたりの I/O処理回数）が向上します。EMC Isilon には何種類ものノードがあり、容量およびパフォーマンスと、スループットまたは IOPS のバランスをとるために、そのすべてをクラスターに追加できます。

ノード用途

S シリーズ IOPS集約型のアプリケーション

X シリーズ高度の並列度とスループット主導のワークフロー

NL シリーズテープ並みの価格で、プライマリ水準のアクセス性を実現

HD シリーズ最大限の容量を実現

次の EMC Isilon ノードによりパフォーマンスが向上します。

ノード機能

A シリーズパフォーマンスアクセラレータ高いパフォーマンスのための独立した拡張



ノード機能

A シリーズバックアップアクセラレータファイバーチャネル経由で接続されるテープドライブ用の高速で拡張性の高いバックアップ/リストアソリューション

内部ネットワークと外部ネットワーククラスタには、ノード間でデータを交換するための内部ネットワークとクライアント接続を処理するための外部ネットワークの 2 つのネットワークが含まれます。ノードは、InfiniBand上の専用のユニキャストプロトコルを使用し、内部ネットワークを通じてデータを交換します。各ノードには冗長な InfiniBand ポートが搭載されているため、最初の内部ネットワークが障害になった場合は、2番目の内部ネットワークを追加できます。

IsilonSD Edge の場合は、ノードは Ethernet スイッチ経由でデータを交換します。IsilonSD Edgeの内部および外部のネットワーク要件の詳細については、「IsilonSD Edge インストールおよび管理ガイド」を参照してください。

クライアントは、1 GigE または 10 GigE Ethernet を使用してクラスタに到達します。どのノードにもEthernet ポートが搭載されているので、ノードを追加するたびに、パフォーマンスや容量とともにクラスタの帯域幅が拡張されます。

InfiniBand スイッチには、Isilon ノードのみを接続する必要があります。バックエンドネットワーク上でやり取りされる情報は暗号化されません。Isilon ノード以外を InfiniBand スイッチに接続すると、セキュリティリスクが発生します。

Isilon クラスターIsilon クラスターは、3個以上のハードウェアノード（最大 144個）から成ります。各ノードでは、Isilon OneFS オペレーティングシステムを実行します。これはクラスターにノードを結合する分散ファイルシステムソフトウェアです。クラスターのストレージ容量の範囲は、18 TB から 50 PB です。IsilonSD Edge を実行している場合、IsilonSD クラスターの要件については、このガイドの「IsilonSD クラスター」セクションを参照してください。

クラスター管理OneFSは、Web管理インターフェイスとコマンドラインインターフェイスを通じてクラスター管理を一元化します。どちらのインターフェイスでも、ライセンスのアクティベーション、ノードのステータスの確認、クラスターの構成、システムのアップグレード、アラートの生成、クライアント接続の表示、パフォーマンスの追跡、さまざまな設定の変更を行うための手段が提供されています。また、OneFS では、ジョブエンジンを使用してメンテナンスを自動化することにより、管理が単純化されます。ウイルスのスキャン、ディスクのエラーの検査、ディスク領域の回収、ファイルシステムの整合性のチェックを行うジョブをスケジュールできます。エンジンはジョブを管理し、クラスターのパフォーマンスに対する影響を最小化します。


内部ネットワークと外部ネットワーク 39

SNMP のバージョン 2c と 3 を使用して、ハードウェアコンポーネント、CPU使用率、スイッチ、ネットワークインターフェイスをリモートで監視できます。EMC Isilonは、OneFS オペレーティングシステムに対し、MIB（管理情報ベース）とトラップを提供します。また OneFS には、次の 2 つの機能領域に分かれている API（アプリケーションプログラミングインターフェイス）があります。一方の領域にはクラスターを構成、管理し、機能をモニタリングする機能があり、もう一方にはクラスター上のファイルやディレクトリを操作する機能があります。OneFS API には、REST（Representational State Transfer）インターフェイスを介してリクエストを送信します。このインターフェイスには、リソース URIや標準の HTTP メソッドを介してアクセスします。APIは、セキュリティを高めるために、OneFS の RBAC（役割に基づいたアクセス制御）と統合されています。「Isilon プラットフォーム API リファレンス」「」を参照してください。

Quorum

Isilon クラスターが適切に動作するためには、quorum が必要です。quorumは、2個のノードグループが同期されていない状態になった場合に、データの競合（たとえば、同じファイルの競合するバージョン）を防ぎます。クラスターが読み書き要求に対して quorum を失うと、OneFS ファイルシステムにアクセスできなくなります。quorum のためには、半分を超えるノードが内部ネットワーク上で利用可能である必要があります。たとえば、7 ノードクラスターでは、4 ノードの quorum が必要です。10 ノードクラスターでは、6 ノードの quorum が必要です。ノードが内部ネットワーク経由で到達不能な場合、OneFSはクラスターからノードを分離します。これは、スプリットと呼ばれる動作です。クラスターが分割された後、quorum を持つのに十分なノードがまだ接続されている限り、クラスター操作は継続されます。分割クラスターでは、クラスターに残っているノードは多数グループと呼ばれます。クラスターから分割されるノードは少数グループと呼ばれます。分割されたノードがクラスターにリコネクトでき、他のノードと再同期できる場合、ノードはクラスターの多数グループに再度参加します。これは、マージと呼ばれるアクションです。OneFS クラスターには次の 2個の quorum プロパティが含まれています。l 読み取り quorum（efs.gmp.has_quorum）l 書き込み quorum（efs.gmp.has_super_block_quorum）ノードに SSH で接続し sysctl コマンドラインツールを root で実行することにより、両方のタイプの quorum のステータスを表示できます。次に、読み取り操作と書き込み操作の両方の quorumがあるクラスターの例を示します。これは、コマンドの出力に 1（true）があることで示されます。

sysctl efs.gmp.has_quorum efs.gmp.has_quorum: 1 sysctl efs.gmp.has_super_block_quorum efs.gmp.has_super_block_quorum: 1

ノードの縮退状態（SmartFail、読み取り専用、オフラインなど）は、さまざまな方法で quorum に影響を与えます。SmartFail または読み取り専用状態のノードは、書き込み quorum のみに影響を与えます。しかし、オフライン状態のノードは、読み取りと書き込みの両方の quorum に影響を与えます。クラスターでは、さまざまな縮退状態のノードの組み合わせにより、読み取り要求と書き込み要求のいずれかまたは両方が動作するかどうかが決まります。クラスターは、書き込み quorum を失っても、読み取り quorum を保持することがあります。ノード 1と 2 が正常に動作している 4 ノードクラスターを考えます。ノード 3は読み取り専用状態で、ノード4は SmartFail状態です。この場合、クラスターへの読み取り要求は成功します。しかし、ノード 3と 4 の状態により書き込み quorum が壊れるため、書き込み要求は入出力エラーになります。クラスターは、その読み取り quorum と書き込み quorum の両方を失うこともあります。4 ノードクラスターでノード 3 と 4 がオフライン状態の場合、書き込み要求と読み取り要求の両方が入出力エラ



ーとなり、ファイルシステムにアクセスできなくなります。OneFS がノードに再接続できる場合、OneFSはノードをクラスターにマージします。Isilon ノードは、RAID システムと異なり、再構築や再構成せずにクラスターに再度参加できます。

スプリットとマージスプリットとマージは、ユーザーの介入なくノードの使用を最適化します。OneFSはクラスタのすべてのノードを監視します。ノードが内部ネットワーク経由で到達不能な場合、OneFSはクラスタからノードを分離します。これは、スプリットと呼ばれる動作です。クラスタがノードに再接続できる場合、OneFSはノードをクラスタに追加します。この動作をマージと呼びます。ノードがクラスタから分割されると、イベント情報のローカルな収集が継続されます。SSH で分割ノードに接続し、isi event events list を実行してノードのローカルイベントログを表示できます。ローカルイベントログは、分割の原因となる接続の問題をトラブルシューティングするのに役立ちます。分割ノードがクラスターに再び参加すると、分割中に収集されたローカルイベントが削除されます。分割ノードによって生成されたイベントは、/var/log/isi_celog_events.log にあるノードのイベントログファイルで表示できます。クラスタが書き込み操作中にスプリットされると、OneFSは quorum がある側でファイル用のブロックの再割り当てが必要になることがあり、quorum がない側で割り当てられたブロックが孤立することになります。スプリットされたノードがクラスタに再接続する場合、OneFS の Collect システムジョブは孤立したブロックを回収します。それまでの間、ノードがスプリットされクラスタにマージされる際に、OneFS の AutoBalance ジョブは、データをクラスタ内のノードに均等に再分配し、保護を最適化して領域を節約します。

ストレージプールストレージプールは、ノードとファイルと論理的な区分に分割し、データの管理と格納を単純化します。ストレージプールはノードプールと階層からなります。ノードプールは同等のノードをグループ化し、データを保護して信頼性を確保します。階層はノードプールを組み合わせて、頻繁に使用される高速階層や、めったにアクセスされないアーカイブなど、ニーズごとにストレージを最適化します。SmartPools モジュールは、ノードとファイルをプールにグループ化します。 SmartPools のライセンスをアクティブ化していない場合、モジュールはノードプールをプロビジョニングして、ファイルプールを 1つ作成します。 SmartPools のライセンスをアクティブ化すると、さらに多くの機能を使用できます。たとえば、複数のファイルプールを作成し、ポリシーを適用できます。ポリシーは、ファイル、ディレクトリ、ファイルプールをノードプールまたは階層間で移動します。また、ノードプールまたは階層が一杯の場合に OneFS が書き込み操作を処理する方法を定義することもできます。 SmartPools のライセンスがアクティブ化されているかどうかにかかわらず、SmartPoolsは、ドライブで障害が発生した場合にデータを再度保護するための仮想ホットスペアを確保します。

OneFS オペレーティングシステムOneFSは、FreeBSD ベースの分散オペレーティングシステムであり、Isilon クラスターのファイルシステムを、1 か所から管理される単一の共有またはエクスポートとして利用できるようにします。OneFS オペレーティングシステムは次のことを行います。l SMBや NFSなど、一般的なデータアクセスプロトコルをサポート。l Active Directoryや LDAPなどの複数の ID管理システムに接続。l ユーザーおよびグループの認証。


スプリットとマージ 41

l ディレクトリとファイルへのアクセスを制御。

データアクセスプロトコルOneFS オペレーティングシステムでは、複数のファイル共有プロトコルとファイル転送プロトコルを使用してデータにアクセスできます。その結果、Microsoft Windows、UNIX、Linux、Mac OS X クライアントが同じディレクトリとファイルを共有できます。OneFSは次のプロトコルをサポートしています。SMB

SMB（サーバメッセージブロック）プロトコルを使用すると、Windows のユーザーがクラスタにアクセスできるようになります。OneFS では、SMB 1、SMB 2、SMB 2.1 のほか、マルチチャネルの場合のみ SMB 3.0 を使用できます。SMB 2.1 の場合、OneFSはクライアントのoplock（便宜的ロック）と大型（1 MB）のMTU をサポートします。デフォルトのファイル共有は /ifsです。

NFS

NFS（Network File System）プロトコルを使用すると、UNIX、Linux、Mac OS X のシステムで、Windows ユーザーによって作成されたサブディレクトリを含む、すべてのサブディレクトリをリモートでマウントできます。OneFSは、NFSバージョン 3 および 4 で動作します。デフォルトのエクスポートは /ifsです。

HDFS

HDFS（Hadoop Distributed File System）プロトコルを使用すると、クラスタと、データ集約型の分散アプリケーションのフレームワークである Apache Hadoop の連携が可能になります。HDFS統合では、別途ライセンスのアクティブ化を要求されます。

FTP

FTP により、FTP クライアントを使用してクラスタに接続し、ファイルを交換できます。

HTTPおよび HTTPS

HTTP とそのセキュアバリアントである HTTPSは、リソースへのブラウザベースアクセスをシステムに提供します。OneFS には、WebDAV に対する限定的なサポートが含まれています。

Swift

Isilon Swift では、EMC Isilon クラスタに格納されているファイルベースデータにオブジェクトとしてアクセスできます。Swift APIは、HTTP または HTTPS（セキュア HTTP）上の REST（Representational State Transfer）Web サービスのセットとして実装されています。コンテンツおよびメタデータはオブジェクトとして送出でき、サポートされる他の EMC Isilon プロトコルを通じてコンカレントにアクセスできます。詳細については、「Isilon Swift Technical Note」を参照してください。

ID管理とアクセス制御OneFSは、複数の ID管理システムと連携して、ユーザーを認証し、ファイルへのアクセスを制御します。また、OneFSはアクセスゾーン機能を備えており、さまざまなディレクトリサービスのユーザーが、その IP アドレスに基づいてさまざまなリソースにアクセスできます。また、役割に基づいたアクセス制御（RBAC）により、管理アクセスが役割ごとに分割されます。OneFSは、次の ID管理システムを使用してユーザーを認証します。l Microsoft AD（Active Directory）l LDAP（Lightweight Directory Access Protocol）



l NIS（ネットワーク情報サービス）l ローカルユーザーとローカルグループl /etc/spwd.db ファイルと /etc/group ファイルのアカウントにあるファイルプロバイダー。フ

ァイルプロバイダーを使用すると、ユーザー/グループ情報の信頼できるサードパーティソースを追加できます。

さまざまな ID管理システムを使用してユーザーを管理できます。OneFSは、Windows と UNIX のID が共存できるように、アカウントをマッピングします。たとえば、Active Directory で管理されているWindows ユーザーアカウントは、NIS または LDAP の対応する UNIX アカウントにマッピングされます。アクセスを制御するために、Isilon クラスターでは、Windows システムの ACL（アクセスコントロールリスト）と UNIX システムの POSIX モードビットの両方を使用できます。OneFS がファイルの権限を ACL からモードビットまたはモードビットから ACL に変換する必要がある場合、OneFSは、権限をマージして一貫したセキュリティ設定を維持します。OneFSは、NFS が表示モードビットをエクスポートし、SMB共有が ACL を表示するように、権限のプロトコル固有のビューを提供します。ただし、chmod コマンドや chown コマンドなどの標準的なUNIX ツールを使用して、モードビットだけでなく ACL も管理できます。また、ACL ポリシーを使用すると、Windows システムと UNIX システムが混在するネットワークに対して、OneFS が権限を管理する方法を構成できます。アクセスゾーン

OneFS にはアクセスゾーン機能が含まれています。アクセスゾーンを使用すると、2個の信頼できない Active Directory ドメインなど、さまざまな認証プロバイダーのユーザーが、着信 IPアドレスに基づいてさまざまな OneFS リソースにアクセスできるようになります。1個のアクセスゾーンには複数の認証プロバイダーと SMB ネームスペースを含めることができます。

管理用の RBAC

OneFS には、管理用に役割に基づいたアクセス制御が含まれています。RBAC では、rootまたは管理者アカウントの代わりに、役割によって管理アクセスを管理できます。役割は、ある管理領域の特権を制限します。たとえば、セキュリティ、監査、ストレージ、バックアップ用に個別の管理者役割を作成できます。

ファイルシステムの構造OneFSは、クラスターのすべてのノードをグローバルなネームスペース（つまり、デフォルトのファイル共有 /ifs）として提示します。ファイルシステム中では、ディレクトリは inode番号リンクです。inode には、ファイルの位置を示すファイルメタデータと inode番号が格納されています。OneFSは、inode を動的に割り当て、inodeの数に制限はありません。ノード間でデータを分散させるために、OneFSはグローバルにルーティング可能なブロックアドレスを、クラスターの内部ネットワークを通じて送信します。ブロックアドレスは、ノードと、データブロックが格納されているドライブを識別します。

データはルート /ifsファイルパスに保存せず、/ifs下のディレクトリに保存することをお勧めします。データストレージ構造の設計は慎重に計画する必要があります。よく設計されたディレクトリでは、クラスターパフォーマンスとクラスター管理が最適化されます。


ファイルシステムの構造 43

データレイアウトOneFSは、ストレージの効率とパフォーマンスを最大化するレイアウトアルゴリズムを使用して、クラスターのノード間でデータを均等に分散します。システムは継続的にデータを再割り当てし、領域を節約します。OneFSは、データをブロックと呼ばれる小さなセクションに分割し、ブロックはストライプユニットに配置されます。ファイルデータまたは消失コードを参照することにより、ストライプユニットは、ハードウェア障害からファイルを保護するのに役立ちます。ストライプユニットのサイズは、ファイルサイズ、ノード数、保護設定によって変わります。OneFS がデータをストライプユニットに分割した後、OneFSはストライプユニットをクラスター内のノードにまたがって割り当てます（ストライピング）。クライアントがノードに接続するとき、クライアントの読み書き操作は複数のノードに対して実行されます。たとえば、クライアントがノードに接続してファイルを要求するとき、ノードはデータを複数のノードから取得してファイルを再構築します。ユーザーの主なアクセスパターン（コンカレント、ストリーミング、ランダム）に合わせて、OneFS がデータを配置する方法を最適化することができます。

ファイルの書き込みノード上で、OneFS ソフトウェアスタックの I/O処理は、2種類の機能レイヤーに分割されます。上位レイヤー（イニシエータ）と、下位レイヤー（参加者）です。読み書き操作で、イニシエータと参加者は異なる役割を果たします。クライアントがファイルをノードに書き込むとき、ノード上のイニシエータはクラスター上のファイルの配置を管理します。イニシエータは、まずファイルをそれぞれ 8 KB のブロックに分割します。次に、ブロックを 1個以上のストライプユニットに配置します。128 KB の場合、ストライプユニットは 16個のブロックからなります。次に、イニシエータは、ストライプユニットを、クラスターの幅に広がるまでクラスター全体に分散させ、ストライプを作成します。ストライプの幅は、ノード数と保護設定によって変わります。ファイルをストライプユニットに分割した後、イニシエータはデータをまず NVRAM（不揮発性ランダムアクセスメモリー）に書き込み、その後ディスクに書き込みます。NVRAMは、電源が切断されたときでも情報を保持します。書き込みトランザクションの間、NVRAMは、ジャーナルを使用してノード障害から保護します。ノードがトランザクションの途中で障害になった場合、トランザクションは障害になったノードなしで再起動されます。ノードが復帰した場合、NVRAM からジャーナルを再生して、トランザクションを完了します。また、ノードは AutoBalance ジョブを実行して、ファイルのディスク上のストライピングを確認します。その間、コミットされておらず、キャッシュ中で待機している書き込みは、ミラーリングによって保護されます。その結果、OneFS では複数の障害点が除去されます。

ファイルの読み取り読み取り操作では、ノードは他のノードからデータを収集し、要求元のクライアントに提示するマネージャとして機能します。Isilon クラスターの一貫性のあるキャッシュはすべてのノードに分散しているため、OneFSは、各ノードの RAM に異なるデータを保存できます。内部の InfiniBand ネットワークを使用することにより、ノードは、自身のローカルディスクから取得するよりも高速に別のノードのキャッシュからファイルデータを取得できます。読み取り操作がいずれかのノードにキャッシュされているデータを要求する場合、OneFSはキャッシュデータを取得して高速にデータを提供します。また、アクセスパターンがコンカレントまたはストリーミングであるファイルの場合、OneFSは要求されたデータは管理ノードのローカルキャッシュにプリフェッチされ、シーケンシャルな読み取りパフォーマンスがさらに向上します。



メタデータの配置OneFSは、複数のノードとドライブに分散させることでメタデータを保護します。メタデータには、ファイルの格納場所、その保護方法、誰がアクセスできるかについての情報が格納されており、inode に格納され、B+ツリーのロックで保護されます。B+ツリーは、データブロックをファイルシステムに構成し、迅速な検索を可能にするための標準的な構造です。OneFSは、単一障害点がなくなるように、クラスター全体にファイルメタデータをレプリケートします。すべてのノードがピアとして連携し、メタデータのアクセスとロックを管理します。あるノードがメタデータのエラーを検出すると、ノードは代わりの場所にあるメタデータを検索し、エラーを訂正します。

ロックと並列性OneFS には、クラスタの全ノードにまたがってデータのロックを調整する、分散ロックマネージャが含まれています。ロックマネージャは、SMB共有モードロックや、NFS アドバイザリロックなど、ファイルシステム、バイト範囲、プロトコルに対するロックを許可します。OneFSは、SMB の便宜的ロックもサポートします。OneFSはすべてのノードにまたがってロックマネージャーを分散させるため、どのノードもロックコーディネーターとして動作することができます。あるノードのスレッドがロックを要求した場合、ロックマネージャーのハッシュアルゴリズムは、一般に異なるノードにコーディネーターの役割を割り当てます。コーディネーターは、要求の種類に応じて、共有ロックまたは排他ロックを割り当てます。共有ロックは一般に読み取り操作用であり、ユーザーは同時にファイルを共有できます。排他ロックは一般に書き込み操作用であり、ファイルに対して 1 ユーザーのみにアクセスを許可します。

ストライピングストライピングと呼ばれる処理では、OneFS がファイルをデータユニットに分割して、クラスターのノードにまたがってユニットを分散します。ストライピングによりデータが保護され、クラスターのパフォーマンスが向上します。ファイルを分散するために、OneFSはファイルをデータブロックに分割し、ブロックをストライプユニットに配置して、ストライプユニットを内部ネットワーク上のノードに割り当てます。同時に、OneFSはファイルを保護する消去コードも分散します。消去コードは、分散したシンボルセットにファイルのデータをエンコードし、領域効率のよい冗長性を追加します。OneFSは、シンボルセットの一部のみを使用して元のファイルデータを復元できます。データとその冗長性はファイルデータの領域に対する保護グループを形成します。保護グループは異なるノードの異なるドライブに配置され、データストライプが作成されます。OneFSはデータをピアとして連携する複数のノードにまたがってストライピングするため、任意のノードに接続するユーザーはクラスター全体のパフォーマンスを活用できます。デフォルトでは、OneFSはコンカレントアクセス用にストライピングを最適化します。主なアクセスパターンがストリーミングである場合（ビデオのように、並列性が低く、単一ストリームの作業負荷が高い場合）、OneFS によるデータのレイアウト方法を変更し、シーケンシャルな読み取りパフォーマンスを向上させることができます。ストリーミングアクセスをより適切に処理するために、OneFSはデータをより多くのドライブにストライピングします。ストリーミングは、大きなファイルを提供するクラスターやサブプールで最も効果的です。


メタデータの配置 45

データ保護の概要Isilon クラスターは、コンポーネントが障害になった場合でもデータを提供するように設計されています。デフォルトでは、OneFSは消去コードを使用してデータを保護し、ノードまたはディスクが障害になった場合でもデータを取得できるようにします。消去コードの代わりとして、2～8個のミラーを使用してもデータを保護できます。5 台以上のノードがあるクラスターを作成する場合、消去コードは最大で 80% の効率性を提供します。大規模なクラスターでは、消去コードは 4 レベルの冗長性を提供します。消去コードとミラーリングに加えて、OneFS には、データの整合性、可用性、機密性を保護するのに役立つ次の機能が含まれています。

機能説明

アンチウイルス OneFSは、ウイルスなどの脅威をスキャンするためにICAP（Internet Content Adaptation Protocol）を実行しているサーバーにファイルを送信できます。

クローン OneFS では、領域を節約するために他のファイルとブロックを共有するクローンを作成できます。

NDMPバックアップとリストア OneFS では、NDMP（Network Data

Management Protocol）を通じてテープなどのデバイスにデータをバックアップできます。OneFSは 3方向バックアップと 2方向バックアップの両方をサポートしていますが、2方向バックアップには Isilonバックアップアクセラレータノードが必要です。

IsilonSD Edgeは、3方向の NDMPバックアップのみをサポートしています。

保護ドメイン保護ドメインをファイルとディレクトリに適用し、変更を防ぐことができます。

次のソフトウェアモジュールもデータの保護に役立ちますが、個別にライセンスをアクティブ化する必要があります。

ライセンス対象機能説明

SyncIQ SyncIQは、別の Isilon クラスター上にデータをレプリケートし、クラスター間のフェイルオーバーおよびフェイルバック操作を自動化します。クラスターが不安定になった場合、別の Isilon クラスターにフェイルオーバーできます。

SnapshotIQ スナップショット（クラスターに保存されたデータの論理的なコピー）を使用してデータを保護できます。

SmartLock SmartLock ツールは、ユーザーがファイルを変更および削除するのを防ぎます。Write-Once Read-

Many状態にファイルをコミットできます。ファイルは変更できず、設定された保存期間が過ぎるまでは削除



ライセンス対象機能説明

できません。SmartLockは、取引委員会規則 17

条 a-4 に準拠するのに役立ちます。

N+M データ保護OneFSはクラスタ全体にわたるデータ冗長性を使用して、ドライブやノードの障害によるデータ漏洩を防ぎます。保護はファイルシステム構造に組み込まれ、個々のファイルレベルにまで適用することができます。OneFS の保護は、FEC（前方エラー訂正）を使用した、リードソロモンアルゴリズムをモデル化したものです。FEC を使用して、OneFSはデータを 128 KB のチャンクに割り当てます。データチャンク N個ごとに、OneFSはM個の保護チャンクまたはパリティチャンクを書き込みます。各 N+M個のチャンクは保護グループと呼ばれ、独立したノードの独立したディスクに書き込まれます。このプロセスは、データストライピングと呼ばれます。クラスタ全体にわたってデータをストライピングすることにより、ドライブまたはノードに障害が発生した場合に、OneFSはファイルをリカバリします。OneFS では、保護ポリシーと保護レベルは別の概念です。保護ポリシーとは、クラスタ上のストレージプールに設定する保護設定のことです。保護レベルとは、保護ポリシーと書き込み可能な実際のノード数に基づいて、OneFS がデータに対して行う実際の保護のことです。たとえば、3 ノードクラスタで保護ポリシー［+2d：1n］を指定すると、2台のドライブまたは 1台のノードに障害が発生しても OneFSはデータロスなしで対応可能です。ただし、同じ 3 ノードクラスタで保護ポリシー［+4d：2n］を指定しても、4台のドライブまたは 2台のノードの障害に対応する保護レベルを達成することはできません。N+M の値は、クラスタ内のノード数以下である必要があります。デフォルトでは、OneFSは、クラスタ構成に基づく推奨保護ポリシーを計算して設定します。推奨保護ポリシーは、データの整合性とストレージの効率性の最適なバランスを実現するポリシーです。クラスタのサポート範囲を超える高さの保護レベルを設定することもできます。たとえば、4 ノードクラスタの保護レベルを 5倍に設定することもできます。この場合、クラスタに 5番目のノードが追加されるまで、OneFSは 4倍でデータを保護し、5番目のノードが追加されると自動的にデータを 5倍で再保護します。

データミラーリングミラーリングを使用してディスク上のデータを保護できます。ミラーリングでは、データが複数の場所にコピーされます。OneFS では 2 から 8個のミラーがサポートされています。消去コードの代わりにミラーリングを使用したり、消去コードとミラーリングを組み合わせることができます。ただし、ミラーリングは、消去コードよりも多くの領域を消費します。たとえば、データを 3回ミラーリングすると、データが 3回複製され、消去コードよりも多くの領域が必要になります。このことから、ミラーリングは高パフォーマンスが必要なトランザクションに適しています。また、消去コードをミラーリングと組み合わせることもできます。書き込み処理中に、OneFSはデータを冗長な保護グループに分割します。消去コードで保護されているファイルの場合、保護グループはデータブロックとその消去コードからなります。ミラーされたファイルの場合、保護グループには、ブロックのすべてのミラーが含まれます。OneFS では、ファイルをディスクに書き込むときに保護グループの種類を切り換えることができます。保護グループを動的に切り換えることで、クラスターが消去コードを適用できなくなるノード障害が発生しても、OneFSはデータを引き続き書き込むことができます。ノードがリストアされた後、OneFSはミラーされた保護グループを消去コードに自動的に変換します。


N+M データ保護 47

ファイルシステムジャーナルジャーナルは、バッテリーでバックアップされた NVRAM カードにファイルシステムの変更を記録し、停電などの障害後にファイルシステムをリカバリします。ノードが再起動されると、ジャーナルはファイルトランザクションを再生して、ファイルシステムをリストアします。

VHS（仮想ホットスペア）ドライブが障害になると、OneFSはホットスペアドライブの代わりにサブプール内の予約された領域を使用します。予約された領域は仮想ホットスペアと呼ばれます。スペアドライブと異なり、仮想ホットスペアはドライブ障害を自動的に解決し、データの書き込みを続行します。ドライブが障害になると、OneFSはデータを仮想ホットスペアに移行して再保護します。4台までのディスクドライブを仮想ホットスペアとして予約できます。

保護とストレージ領域のバランシング保護要件とストレージ領域のバランスをとるために、保護レベルを設定できます。保護レベルを高くすると、一般に低いレベルよりも多くの領域を消費します。これは、消去コードを格納するためにディスク領域が消費されるためです。消去コードのオーバーヘッドは、保護レベル、ファイルサイズ、クラスター内のノード数によって変わります。データと消去コードの両方が複数のノードにまたがってストライピングされるため、ノードを追加するとオーバーヘッドが減少します。

VMwareの統合OneFSは、vSphere、vCenter、VMware ESXiなど、複数の VMware製品に統合されます。たとえば、OneFSは、VMware VASA（vSphere API for Storage Awareness）とともに動作し、Isilon クラスタに関する情報を vSphere で表示できるようになっています。OneFSは、VMware VAAI（vSphere API for Array Integration）でも動作し、ブロックストレージに対して、ハードウェアで支援されたロック機能、フルコピー機能、ブロックのゼロ化機能をサポートします。NFS用の VAAI には VMware ESXi プラグインが必要です。Isilon Storage Replication Adapter を使用すると、OneFSは VMware vCenter SiteRecovery Manager に統合され、複数の Isilon クラスタ間でレプリケートされた仮想マシンを復旧できます。

ソフトウェアモジュールEMC Isilon ソフトウェアモジュールのライセンスをアクティブ化することによって、高度な機能にアクセスできます。

IsilonSD Edge を実行している場合は、ソフトウェアモジュールのサポートリストは本製品の無料バージョンまたは購入済みバージョンのどちらを構成したかによって異なります。IsilonSD Edge で使用可能なソフトウェアモジュールの詳細については、このガイドの「IsilonSD Edge ライセンスの概要」のセクションを参照してください。



SmartLock

SmartLockは、故意や過失による、または時期尚早な変更や削除から重要なデータを保護し、SEC 17a-4規制に準拠するのに役立ちます。改ざん防止が施された状態にデータを自動的にコミットし、コンプライアンスクロックを使用して保存できます。

HDFS

OneFSは Hadoop Distributed File System プロトコルとともに使用でき、データ集約型の分散アプリケーションのためのフレームワークである Apache Hadoop が動作するクライアントがBig Data を分析できるようにします。

SyncIQ automated failover and failback

SyncIQは、別の Isilon クラスタ上にデータをレプリケートし、クラスタ間のフェールオーバーおよびフェールバックを自動化します。クラスタが不安定になった場合、別の Isilon クラスタにフェールオーバーできます。フェールバックは、プライマリクラスタが再度使用可能になったときに元のソースデータをリストアします。

セキュリティの強化セキュリティの強化は、できるだけ多くのセキュリティリスクを軽減または排除するようにシステムを構成するプロセスです。ポリシーガイドラインに従って OneFS の構成を保護する強化ポリシーを適用できます。

SnapshotIQ

SnapshotIQは、スナップショット（クラスタに保存されたデータの論理的なコピー）を使用してデータを保護します。スナップショットはその最上位ディレクトリにリストアできます。

SmartDedupe

SmartDedupe を実行して、クラスタ上の冗長性を低減できます。重複排除により、ファイルを読み取りおよび書き込みできるスピードに影響する可能性のあるリンクが作成されます。

SmartPools

SmartPools を使用すると、ファイルプールポリシーで管理される複数のファイルプールを作成できます。ポリシーは、ファイルとディレクトリをノードプールまたは階層間で移動します。また、ノードプールまたは階層が一杯の場合に OneFS が書き込み操作を処理する方法を定義することもできます。

CloudPools

SmartPools ポリシーのフレームワークに組み込まれている CloudPools では、データをクラウドストレージにアーカイブしてストレージの別の階層としてクラウドを効果的に定義することができます。CloudPoolsは、クラウドストレージプロバイダーとして、EMC Isilon、EMC ECS アプライアンス、Virtustream ストレージクラウド、Amazon S3、Microsoft Azure をサポートします。

SmartConnect Advanced

SmartConnect Advanced ライセンスをアクティブ化すると、ポリシーをバランシングして、CPU使用率、クライアント接続、スループットを均等に分散させることができます。また、IP アドレスプールを定義し、サブネットで複数の DNS ゾーンをサポートすることもできます。また、SmartConnectは、NFS フェールオーバーとも呼ばれる IP フェールオーバーをサポートしています。

InsightIQ

InsightIQ仮想アプライアンスは、Isilon クラスタのパフォーマンスを監視および分析し、ストレージリソースの最適化と容量の予測に役立ちます。


ソフトウェアモジュール 49

SmartQuotas

SmartQuotas モジュールは、レポートを使用してディスク使用量を追跡し、アラートを使用してストレージの制限を適用します。

Isilon Swift

Isilon Swiftは、OpenStack Swift 1.0 API と互換性のあるオブジェクトストレージゲートウェイです。Isilon Swift を通じて、EMC Isilon クラスタに格納されている既存のファイルベースデータにオブジェクトとしてアクセスできます。Swift APIは、HTTP または HTTPS上のRESTful Web サービスのセットとして実装されます。Swift APIはプロトコルと見なされるため、コンテンツおよびメタデータはオブジェクトとして送出でき、サポートされる他の EMC Isilonプロトコルを通じてコンカレントにアクセスできます。



第 3 章

OneFS コマンドラインインターフェイスの概要


l OneFS コマンドラインインターフェイスの概要............................................................ 52l 構文図................................................................................................................52l ユニバーサルオプション........................................................................................... 53l コマンドラインインターフェイス権限...........................................................................54l SmartLock対応コマンドの権限.............................................................................54l OneFS の時間値................................................................................................. 57

OneFS コマンドラインインターフェイスの概要 51

OneFS コマンドラインインターフェイスの概要OneFS コマンドラインインターフェイスは、標準 UNIX コマンドセットを拡張して、Web管理インターフェイスまたは LCDパネルの外部で Isilon クラスターを管理できるコマンドを含めています。クラスター内の任意のノードへの SSH（セキュアシェル）接続を開くことで、コマンドラインインターフェイスにアクセスできます。isi コマンドを実行して、Isilon クラスターとクラスター内の個々のノードを構成、監視、管理できます。各コマンドに関する簡単な説明、使用方法に関する情報、例が提供されます。

IsilonSD Edge コマンドラインインターフェイスの概要IsilonSD Edge コマンドラインインターフェイスは、ほとんどの OneFS コマンドをサポートしています。一部のコマンドは、仮想インフラストラクチャ上で実行しているクラスターでサポートされていないか、または IsilonSD Edge のライセンスを購入していないため、IsilonSD Edge に適用されない場合があります。これらのコマンドは、それぞれのセクションに記載されています。

構文図各コマンドの形式は、構文図で説明します。構文図には次の表記法が適用されます。

エレメント説明

［］角括弧は、オプションの構成要素を示す。コマンドを指定する際に角括弧の内容を省略した場合も、コマンドは正常に実行されます。

< > 山括弧はプレースホルダー値を示す。山括弧の内容は、有効な値で置換する必要があり、そうしないとコマンドは失敗します。

{ } 中括弧は、構成要素のグループを示す。中括弧の内容が縦棒で区切られている場合、内容は相互に排他的です。中括弧の内容が縦棒で区切られていない場合は、その内容を同時に指定する必要があります。

| 縦棒は、中括弧内の相互に排他的な構成要素を区切る。

... 省略記号は、先行する構成要素を複数回反復できることを示す。省略記号に中括弧、角括弧、山括弧が続く場合は、括弧の内容を複数回反復できます。

各 isi コマンドは、コマンド、必須オプション、省略可能なオプションの 3 つの部分に分かれます。必須オプションは位置が決まっているため、構文図に示されている順序で指定する必要があります。ただし、必須オプションは、山括弧内に表示されているテキストの前に二重ダッシュを付けること



で、別の順序で指定できます。たとえば、isi snapshot snapshots create について考えます。

isi snapshot snapshots create <name> <path>[--expires <timestamp>][--alias <string>][--verbose]

<name> オプションと <path> オプションの先頭に二重ダッシュが付いている場合、オプションはコマンド内で移動できます。たとえば次のコマンドは有効です。

isi snapshot snapshots create --verbose --path /ifs/data --aliasnewSnap_alias --name newSnap

コマンドがあいまいではなく、複数のコマンドに適用されない限り、コマンドの短縮バージョンが受け入れられます。たとえば、isi snap snap c newSnap /ifs/dataは isi snapshotsnapshots create newSnap /ifs/data と等価です。各単語のルートが 1 つのコマンドにのみ属するためです。単語が複数のコマンドに属する場合、コマンドは失敗します。たとえば、isi sn snap c newSnap /ifs/dataは isi snapshot snapshots createnewSnap /ifs/data と等価ではありません。isi sn のルートは isi snapshot またはisi snmp に属するためです。単語の入力を開始してから TAB キーを押すと、単語があいまいでなく 1 つのコマンドにのみ適用される限り、単語の残りの部分が自動的に表示されます。たとえば、isi snapは唯一の有効な候補である isi snapshot に補完されます。一方、isi snは isi snapshot と isisnmp の両方のルートであるため補完されません。

ユニバーサルオプション一部のオプションは、すべてのコマンドに対して有効です。

構文

isi [--timeout <integer>] [--debug] <command> [--help]

--timeout <integer>

コマンドがタイムアウトになるまでの秒数を指定します。

--debug

Isilon OneFS プラットフォーム API に対するすべてのコールを表示します。トレースバックが発生した場合は、エラーメッセージに加えてトレースバックを表示します。

--help

コマンドとコマンドのすべての有効なオプションの基本的な説明を表示します。


ユニバーサルオプション 53

例次のコマンドを実行すると、isi sync policies list コマンドが 30秒後にタイムアウトになります。

isi --timeout 30 sync policies list

次のコマンドを実行すると、isi sync policies list のヘルプ出力が表示されます。

isi sync policies list --help

コマンドラインインターフェイス権限権限によって付与されるほとんどのタスクは CLI（コマンドラインインターフェイス）を使用して実行できます。一部の OneFS コマンドにはルートアクセス権が必要です。

SmartLock対応コマンドの権限クラスタが SmartLock コンプライアンスモードで実行されている場合、クラスタ上でルートアクセス権が無効になります。このため、コマンドにルートアクセス権が必要な場合、そのコマンドは sudo プログラムを通じてのみ実行できます。コンプライアンスモードでは、後にスペースが続くすべての isi コマンドを sudo を通じて実行できます。たとえば、isi sync policies createは sudo を通じて実行できます。また、次のisi_コマンドは sudo を通じて実行できます。これらのコマンドは内部用で、通常は Isilon テクニカルサポートによってのみ実行されます。l isi_auth_expert

l isi_bootdisk_finish

l isi_bootdisk_provider_dev

l isi_bootdisk_status

l isi_bootdisk_unlock

l isi_checkjournal

l isi_clean_idmap

l isi_client_stats

l isi_cpr

l isi_cto_update

l isi_disk_firmware_reboot

l isi_dmi_info

l isi_dmilog

l isi_dongle_sync

l isi_drivenum

l isi_dsp_install

l isi_dumpjournal

l isi_eth_mixer_d



l isi_evaluate_provision_drive

l isi_fcb_vpd_tool

l isi_flexnet_info

l isi_flush

l isi_for_array

l isi_fputil

l isi_gather_info

l isi_gather_auth_info

l isi_gather_cluster_info

l isi_gconfig

l isi_get_itrace

l isi_get_profile

l isi_hangdump

l isi_hw_check

l isi_hw_status

l isi_ib_bug_info

l isi_ib_fw

l isi_ib_info

l isi_ilog

l isi_imdd_status

l isi_inventory_tool

l isi_ipmicmc

l isi_job_d

l isi_kill_busy

l isi_km_diag

l isi_lid_d

l isi_linmap_mod

l isi_logstore

l isi_lsiexputil

l isi_make_abr

l isi_mcp

l isi_mps_fw_status

l isi_netlogger

l isi_nodes

l isi_ntp_config

l isi_ovt_check

l isi_patch_d

l isi_phone_home

l isi_promptsupport

l isi_radish


SmartLock対応コマンドの権限 55

l isi_rbm_ping

l isi_repstate_mod

l isi_restill

l isi_rnvutil

l isi_sasphymon

l isi_save_itrace

l isi_savecore

l isi_sed

l isi_send_abr

l isi_smbios

l isi_stats_tool

l isi_transform_tool

l isi_ufp

l isi_umount_ifs

l isi_update_cto

l isi_update_serialno

l isi_vitutil

l isi_vol_copy

l isi_vol_copy_vnx

isi コマンドに加えて、sudo を通じて次の UNIX コマンドを実行できます。l date

l gcore

l ifconfig

l kill

l killall

l nfsstat

l ntpdate

l nvmecontrol

l pciconf

l pkill

l ps

l pwd_mkdb

l renice

l shutdown

l sysctl

l tcpdump

l top



OneFSの時間値OneFSは、アプリケーションに応じて異なる時間の値を使用します。

複数の OneFS アプリケーションでは、月などの期間を指定できます。ただし、一部の時間値には複数の意味があるため、OneFSはアプリケーションに基づいて時間値を定義します。次の表で、OneFS アプリケーションの時間値を説明します。

モジュール月年

SnapshotIQ 30日間 365日間（うるう年は考慮されません）

SmartLock 31日間 365日間（うるう年は考慮されません）

SyncIQ 30日間 365日間（うるう年は考慮されません）


OneFS の時間値 57

第 4 章

一般的なクラスター管理


l 一般的なクラスター管理の概要.............................................................................. 60l ユーザーインターフェイス......................................................................................... 60l クラスターへの接続................................................................................................. 61l ライセンス............................................................................................................. 62l 証明書................................................................................................................67l クラスタの ID......................................................................................................... 69l クラスターの連絡先情報.........................................................................................70l クラスターの日付と時間...........................................................................................71l SMTP メール設定................................................................................................ 73l クラスターの参加モードの構成................................................................................. 74l ファイルシステムの設定.......................................................................................... 75l セキュリティの強化..................................................................................................76l クラスターの監視................................................................................................... 80l クラスターハードウェアの監視................................................................................... 81l イベントとアラート...................................................................................................89l クラスターのメンテナンス.......................................................................................... 98l リモートサポート...................................................................................................107l クラスター管理コマンド............................................................................................ 111l イベントコマンド................................................................................................... 180l ハードウェアコマンド.............................................................................................. 199

一般的なクラスター管理 59

一般的なクラスター管理の概要EMC Isilon クラスターの一般的な OneFS設定およびモジュールライセンスを管理できます。一般的なクラスター管理では複数の領域がカバーされます。実行できる操作：l クラスター名、日付と時刻、メールなどの一般設定の管理l ハードウェアコンポーネントなど、クラスターのステータスとパフォーマンスの監視l イベントと通知の処理方法の構成l ノードの追加、削除、リスタートなどのクラスターメンテナンスの実行ほとんどの管理タスクは、Web管理インターフェイスまたはコマンドラインインターフェイスの両方を通じて実行されますが、どちらか一方でのみ管理できるタスクもあります。

ユーザーインターフェイスOneFS と IsilonSD Edge には EMC Isilon クラスターと IsilonSD クラスターを管理するためのインターフェイスがいくつか用意されています。

仮想マトリックス説明注意事項

OneFS Web管理インターフェイスブラウザベースの OneFS Web管理インターフェイスは、OneFS がサポートするブラウザに安全なアクセスを提供します。このインターフェイスを使用して堅牢なグラフィカルモニタリングディスプレイを表示したり、クラスター管理タスクを実行したりします。

OneFS Web管理インターフェイスはデフォルトのポートとしてポート8080 を使用します。

OneFS コマンドラインインターフェイス

コマンドラインインターフェイスでOneFS isi コマンドを実行することにより、クラスターの構成、監視、管理を行います。コマンドラインインターフェイスへのアクセスは、クラスター内の任意のノードへの SSH

（セキュアシェル）接続を介して行います。

OneFS コマンドラインインターフェイスは、クラスターを管理するための拡張標準 UNIX コマンドセットを提供します。

OneFS API OneFS API（アプリケーションプログラミングインターフェイス）は 2 つの機能領域に分かれています。1

つの領域でクラスター構成、管理、モニタリング機能を有効にし、もう 1 つの領域ではクラスター上のファイルとディレクトリの操作を有効にします。OneFS API には、REST（Representational State

Transfer）インターフェイスを介してリクエストを送信できます。このインターフェイスには、リソース URIや標準の HTTP メソッドを介してアクセスします。

OneFS API を介してクライアントベースソフトウェアを実装する前に、HTTP/1.1 を十分に理解し、HTTP ベースクライアントソフトウェアの作成を経験する必要があります。



仮想マトリックス説明注意事項

ノードフロントパネルアクセラレータノードを除く各ノードのフロントパネルには、ノードやクラスターの詳細を監視するためのLCD スクリーンと 5個のボタンが付いています。

このインターフェイスは、IsilonSD

Edge には該当しません。

ノードのステータス、イベント、クラスターの詳細、容量、IP アドレス、MAC アドレス、スループット、ドライブのステータスが、ノードのフロントパネルに表示されます。

クラスターへの接続EMC Isilon クラスターへのアクセスは、Web管理インターフェイスまたは SSH を介して提供されます。シリアル接続を使用して、コマンドラインインターフェイスを介したクラスター管理タスクを実行できます。ノードフロントパネルを介してクラスターにアクセスし、クラスター管理タスクのサブセットを実行することもできます。ノードフロントパネルへの接続については、ノードのインストールマニュアルを参照してください。

IsilonSD Edge には、ノードのフロントパネルはありません。

Web管理インターフェイスへのログインブラウザーベースのWeb管理インターフェイスから EMC Isilon クラスターを監視および管理できます。手順

1. ブラウザーウィンドウを開き、クラスターの URL をアドレスフィールドに入力します。次の例の［<yourNodeIPaddress>］を、ext-1 を構成したときに指定した最初の IP アドレスにリプレースします。IPv4

https://<yourNodeIPaddress>:8080 IPv6

https://[<yourNodeIPaddress>]:8080

IPv6 アドレスは、IsilonSD Edge ではサポートされません。

セキュリティ証明書が構成されていない場合は、メッセージが表示されます。証明書の構成を解決し、Web サイトでの操作を続けます。

2. OneFS認証情報を［Username］と［Password］のフィールドに入力して、OneFS にログインします。


クラスターへの接続 61

Web管理インターフェイスにログインした後は、4時間のログインタイムアウトがあります。

クラスターへの SSH接続を開くOpenSSHや PuTTYなどの SSH クライアントを使用して、EMC Isilon クラスターに接続できます。はじめに接続を開いた後、クラスターにログインするには、有効な OneFS認証情報が必要になります。手順

1. クラスター内のいずれかのノードへの SSH（セキュアシェル）接続を、そのノードの IP アドレスとポート番号 22 を使用して開きます。

2. OneFS 認証情報でログインします。

OneFS コマンドラインプロンプトで、 isi コマンドを使用してクラスターを監視および管理できます。

ライセンスOneFS ソフトウェアモジュールのライセンスをアクティブ化すると、高度なクラスタ機能を使用できます。オプションの各 OneFS ソフトウェアモジュールでは、個別にライセンスをアクティブ化する必要があります。以下のオプションソフトウェアモジュールの詳細については、EMC Isilon担当営業にお問い合わせください。l CloudPools

l Security hardening

l HDFS

l InsightIQ

l Isilon Swift

l SmartConnect Advanced

l SmartDedupe

l SmartLock

l SmartPools

l SmartQuotas

l SnapshotIQ

l SyncIQ

IsilonSD Edge を実行している場合、CloudPools、SmartLock、SyncIQは IsilonSD Edge のライセンスを購入する場合にのみ使用可能です。その他すべてのオプションモジュールは、デフォルトでは、この製品の無料ライセンスで利用可能です。

ライセンスのステータスOneFS モジュールライセンスのステータスは、モジュールによって提供される機能をクラスタで使用できるかどうかを示します。



ライセンスの状態は次のいずれかです。

ステータス説明

非アクティブライセンスはクラスタでアクティブ化されていません。対応するモジュールによって提供される機能にはアクセスできません。

評価ライセンスはクラスタで一時的にアクティブ化されています。対応するモジュールによって提供される機能には限られた期間だけアクセスできます。ライセンスの期限が切れると、ライセンスを再アクティブ化しない限り、機能は使用不可になります。

アクティブ化ライセンスはクラスタでアクティブ化されています。対応するモジュールによって提供される機能にはアクセスできます。

期限切れクラスタで評価版ライセンスの有効期限が切れています。対応するモジュールによって提供される機能にはアクセスできなくなっています。ライセンスを再アクティブ化しない限り、機能は使用不可のままになります。

IsilonSD Edge を実行している場合、ソフトウェアモジュールのライセンスは、IsilonSD Edge の無料ライセンスまたは購入済みライセンスを構成したかどうかと、対応するライセンスの状態によって異なります。

次の表では、ライセンスのステータスに応じて、各ライセンスで使用できる機能を示します。

ライセンス非アクティブ評価/アクティブ化済み

期限切れ

CloudPools クライアントはクラウドに接続できず、ファイルをクラウドに格納することはできません。

クライアントは、クラウド内にファイルを格納し、アクセスし、変更することができます。クラウドのファイルは、NFSやSMBなどの一般的なプロトコルを介してアクセスできます。

新しい接続をクラウドに適用することはできず、新しいデータをアーカイブすることはできません。以前に書き込まれたクラウドデータは依然として取得できます。

Security Hardening クライアントは、セキュリティの強化を適用または復元することはできません。クライアントは、強化ステータスを表示できます。

クライアントはセキュリティの強化を適用し、復元することができ、強化ステータスを表示できます。

クライアントは、セキュリティの強化を適用または復元することはできません。クライアントは、強化ステータスを表示できます。

HDFS クライアントは HDFS

を使用してクラスタにアクセスできません。

HDFS の設定を構成でき、クライアントはHDFS を使用してクラスタにアクセスできます。

HDFS の設定を構成できません。HDFS サービスを再開始すると、クライアントは HDFS を使用してクラスタにアクセスできなくなります。


ライセンスのステータス 63


期限切れ

InsightIQ InsightIQ でクラスタを監視できません。

InsightIQ でクラスタを監視できます。

InsightIQはクラスタの監視を停止します。以前に InsightIQ

によって収集されたデータは、InsightIQ インスタンスでまだ使用できます。

Isilon Swift クライアントは Swift を使用してクラスタにアクセスできません。

クライアントは、HTTP

または HTTPS上でSwift API クライアントアプリケーションを使用してクラスタにオブジェクトとして格納されている既存のファイルベースのデータにアクセスできます。

クライアントは Swift を使用してクラスタにアクセスできなくなります。

SmartConnectAdvanced

クライアントの接続は、ラウンドロビンポリシーを使用してバランシングされます。IP アドレスのアロケーションは固定です。各外部ネットワークサブネットが割り当てることのできる IP アドレスプールは 1 つだけです。

ラウンドロビンポリシーに加えて、CPU の利用率、接続数、クライアント接続ポリシーなどの機能にアクセスできます。単一サブネット内の複数の DNS ゾーンおよび IP フェイルオーバーをサポートするように、アドレスプールを構成することもできます。

SmartConnect Advanced の設定を指定できなくなります。

SmartDedupe SmartDedupe でデータを重複排除することはできません。

SmartDedupe でデータを重複排除できます。

データを重複排除できなくなります。以前に重複排除されたデータは重複排除されたままになります。

SmartLock SmartLock でファイル保存を適用することはできません。

SmartLock でファイル保存を適用できます。

新しい SmartLock ディレクトリを作成したり、既存のディレクトリに対する SmartLock ディレクトリ構成設定を変更することはできません。SmartLock ライセンスを構成解除した後でも、ファイルをWORM（Write Once Read

Many）状態にコミットできますが、エンタープライズディレクトリからWORM コミット済みファイルを削除することはできません。

SmartPools すべてのファイルはデフォルトのファイルプールに属し、デフォルトファイルプールポリシーによって管理されます。ドライブ障害時のデータ修復用領域を確保す

複数のファイルプールおよびファイルプールポリシーを作成できます。ストレージプールが書き込み可能でない場合の書き込み操作の処理方法を定義して

ファイルプールポリシーを管理できなくなり、SmartPools ジョブは実行されません。新しく追加されるファイルはデフォルトのファイルプールポリシーによって管理され、SetProtectPlus ジョブはクラスタ内のすべてのファイ




期限切れ

る仮想ホットスペアアロケーションも使用できます。

いるスピルオーバーも管理できます。

ルにデフォルトのファイルプールポリシーを適用します。ライセンスの期限が切れたときに SmartPools ジョブが実行中の場合、ジョブは処理を完了してから無効になります。

SmartQuotas SmartQuotas でクォータを作成することはできません。

SmartQuotas でクォータを作成できます。

すべてのクォータが無効になります。アドバイザリ閾値およびソフト閾値を超えてもイベントはトリガーされません。ハード閾値およびソフト閾値は適用されません。

SnapshotIQ OneFS アプリケーションによって生成されたスナップショットを表示および管理できます。ただし、スナップショットを作成したり、SnapshotIQ の設定を構成することはできません。

スナップショットを作成、表示、管理できます。スナップショットの設定を構成することもできます。

スナップショットを生成できなくなります。既存のスナップショットスケジュールは削除されませんが、スケジュールによるスナップショットの生成は行われなくなります。スナップショットの削除およびスナップショットデータへのアクセスはまだ可能です。

SyncIQ SyncIQ でデータをレプリケートすることはできません。

SyncIQ でデータをレプリケートできます。

リモートクラスタにデータをレプリケートできなくなり、リモートクラスタはローカルクラスタにデータをレプリケートできなくなります。レプリケーションポリシーのステータスはまだ有効と表示されますが、ポリシーによってそれ以降に作成されるレプリケーションジョブは失敗します。ライセンスの期限が切れたときに進行中のレプリケーションジョブは完了します。

ライセンスの構成一部の OneFS モジュールのライセンスを構成できます。ライセンスを構成するには、対応するモジュールで特定の操作を実行します。ライセンスをアクティブ化する必要があるすべてのアクションで、ライセンスが構成されるわけではありません。また、すべてのライセンスを構成できるわけではありません。ライセンスを構成しても、モジュールによって提供される機能へのアクセスが追加または削除されることはありません。次の表では、各ライセンスの構成を引き起こすアクションについて説明します。

ライセンス構成される原因

CloudPools クラウドプールポリシーを作成します（デフォルトのプールポリシー以外）。


ライセンスの構成 65

ライセンス構成される原因

Hardening このライセンスは構成できません。

HDFS このライセンスは構成できません。

InsightIQ このライセンスは構成できません。

Isilon Swift このライセンスは構成できません。

SmartConnect 少なくとも 1 つの IP アドレスプールに対してSmartConnect Advanced の設定を構成します。

SmartDedupe このライセンスは構成できません。

SmartLock このライセンスは構成できません。

SmartPools ファイルプールポリシーを作成します（デフォルトのファイルプールポリシー以外）。

SmartQuotas クォータを作成します。

SnapshotIQ スナップショットスケジュールを作成します。

SyncIQ レプリケーションポリシーを作成します。

IsilonSD Edge の場合は、モジュールライセンスが IsilonSD Edge の無料または購入済みライセンスにバンドルされています。それらを個別に構成する必要はありません。

ライセンスのアクティブ化OneFS モジュールにアクセスするには、ライセンスをアクティブ化する必要があります。

はじめにライセンスをアクティブ化するには、その前に有効なライセンスキーを取得する必要があります。また、クラスターでの root ユーザー権限を持っている必要もあります。ライセンスキーを取得する方法については、EMC Isilon担当営業にお問い合わせください。手順

1. isi license activate コマンドを実行します。次のコマンドを実行すると、ライセンスがアクティブ化されます。

isi license activate <license key>

IsilonSD Edge の場合は、ソフトウェアモジュールが無料または購入済みライセンスにバンドルされています。ソフトウェアモジュールにアクセスするには、IsilonSD Edge ライセンスを構成し、アクティブ化する必要があります。

ライセンス情報の表示オプション Isilon ソフトウェアモジュールの現在のステータスに関する情報を表示できます。



手順1. 次のコマンドを実行します。

isi license licenses view

証明書Isilon Web管理インターフェイスの SSL（Secure Sockets Layer）証明書を更新するか、サードパーティの証明書でリプレースできます。Web管理インターフェイスを通じた通信を含むすべてのプラットフォーム API通信は SSL経由で行われます。生成した証明書で自己署名証明書をリプレースまたは更新できます。 SSL証明書をリプレースまたは更新するには、root としてログオンする必要があります。

SSL証明書の置換または更新ブラウザーを通じた EMC Isilon クラスターへのアクセスに使用される SSL（Secure SocketsLayer）証明書をリプレースまたは更新できます。

はじめに自己署名 SSL証明書を更新またはリプレースする場合は、「自己署名 SSL証明書データの例」で説明する形式で組織の情報を提供する必要があります。次のフォルダーは、OneFS 6.0以上の server.crt および server.key ファイルのデフォルトの場所です。l SSL証明書：/usr/local/apache2/conf/ssl.crt/server.crtl SSL証明書キー：/usr/local/apache2/conf/ssl.key/server.key手順

1. クラスター内の任意のノードへの SSH接続を確立します。2. 適切なディレクトリを作成するには、次のコマンドを実行します。

mkdir /ifs/local/

3. ディレクトリを変更するには、次のコマンドを実行します。

cd /ifs/local/

4. インストールする証明書のタイプを選択します。


証明書 67

オプション説明Third-party(public orprivate) CA-issuedcertificate

a. 新しいキーに加えて新しい CSR（証明書署名リクエスト）を生成するには、openssl req コマンドを実行する。次のコマンドでは、ホスト名が isilon.example.com である CSR を生成する。

openssl req -new -nodes -newkey rsa:1024 -keyout \<common name>.key -out <common-name>.csr

b. <common_name>.csrファイルの内容を署名のためにクラスターから CA（認証機関）に送信する。署名済み証明書（.crtファイル）を CA から受信し、証明書を /ifs/local/<common-name>.crt にコピーする。

Self-signedcertificatebased on theexisting(stock)ssl.key

a. コマンドプロンプトで次のコマンドを実行して、2年間の証明書を作成する。異なる有効期限の証明書を生成するには、［-days］の値を増減する。

cp /usr/local/apache2/conf/ssl.key/server.key ./openssl req -new \/-days 730 -nodes -x509 -key server.key -outserver.crt

既存の（ストック）ssl.key ファイルに基づいて更新証明書が作成されます。5. (オプション) SSL証明書の属性を確認するには、openssl req コマンドを実行します。

openssl x509 -text -noout -in <common-name>.crt

6. 次のコマンドを実行して証明書とキーをインストールします。

isi services -a isi_webui disable chmod 640 <common name>.key\isi_for_array -s 'cp /ifs/local/<common-name>.key \/usr/local/apache2/conf/ssl.key/server.key' \isi_for_array -s 'cp /ifs/local/<common-name>.crt \/usr/local/apache2/conf/ssl.crt/server.crt' isi services -aisi_webui enable

7. ファイルを削除するには、rm コマンドを実行します。次のコマンドは /ifs/local/folder1 のファイルを削除します。

rm /ifs/local/folder1/*

SSL証明書更新の確認SSL（Secure Sockets Layer）認定書に格納されている詳細を確認できます。



手順1. 次のコマンドを実行して、SSL証明書を開いて属性を検証します。

echo QUIT | openssl s_client -connect localhost:8080

自己署名 SSL証明書データの例自己署名 SSL証明書の更新またはリプレースには、完全修飾ドメイン名や連絡先メールアドレスなどのデータを提供する必要があります。自己署名 SSL証明書を更新またはリプレースするときに、次の例に示す形式でデータを提供するよう求められます。証明書ファイル内の一部のフィールドにはデフォルト値が含まれています。 '.'と入力した場合、証明書の生成時にフィールドは空白のままになります。l

l

国名（2 文字のコード）[XX]:US州または地方名（完全名）[Some-State]:Washington

l 市区町村名（都市など）[default city]:Seattlel 組織名（会社など）[Internet Widgits Pty Ltd]:Isilonl 組織単位名（部門など）[]:Supportl 共通名（サーバーの完全修飾ドメイン名やサーバー名など）[]:isilon.example.com l メールアドレス []:[email protected]また、証明書リクエストで送信する次の属性を追加する必要があります。l

l

チャレンジパスワード []:Isilon1 オプションの会社名 []:

クラスタの IDEMC Isilon クラスタの ID属性を指定できます。クラスタ名

クラスタ名はログインページに表示され、ネットワーク上でクラスタとそのノードを識別しやすくします。クラスタ内の各ノードは、クラスタ名とノード番号で指定されます。たとえば、Images という名前のクラスタの最初のノードは、Images-1 という名前になります。

IsilonSD Edge の場合は、IsilonSD Management Plug-in を介してのみクラスタの名前を割り当てることができます。詳細については、「IsilonSD Edge インストールおよび管理ガイド」を参照してください。

クラスタの説明ログインページのクラスタ名の下にクラスタの説明が表示されます。クラスタの説明は、ご使用の環境に複数のクラスタがある場合に便利です。

ログインメッセージログインメッセージは、OneFS Web管理インターフェイスの［Login］ページの別のボックスか、OneFS コマンドラインインターフェイスのクラスタ名の下のテキスト行に表示されます。ログインメッセージではクラスタの情報、ログインの手順、クラスタにログインする前に知っておく必要があ


自己署名 SSL証明書データの例 69

る情報などを伝えることができます。OneFS Web管理インターフェイスの［Cluster Identity］ページに、この情報を設定します。

クラスター名の設定EMC Isilon クラスターの名前、説明、ログインメッセージを指定できます。

クラスター名は文字で始める必要があり、数字、文字、ハイフンのみを含めることができます。クラスター内の各ノードを識別するため、クラスター名がノード番号に追加されます。たとえば、Images という名前のクラスターの最初のノードは、Images-1 という名前になります。

手順1. 次のコマンドを実行して isi config コマンドプロンプトを開きます。

isi config

2. name コマンドを実行します。次のコマンドを実行すると、クラスターの名前が NewName に設定されます。

name NewName

3. 次のコマンドを実行して変更を保存します。

commit

クラスターの連絡先情報Isilon テクニカルサポート担当者とイベント通知受信者は、指定された連絡先情報を使用して連絡を取ります。EMC Isilon クラスターには、次の連絡先情報を指定できます。l 会社名と住所l プライマリとセカンダリの担当者名l 各担当者の電話番号とメールアドレス

連絡先情報の指定Isilon のテクニカルサポート担当者やイベント通知受信者が連絡をとれるように、連絡先情報を指定できます。ESRSは連絡の手段として使用され、連絡先情報を指定するにはこれを有効にする必要があります。手順

1. 次のコマンドを実行して ESRS を有効にします。

isi_promptesrs -e



システムには、次のメッセージが表示されます。

Would you like to enable ESRS? [yes]2. 「yes」と入力し、Enter キーを押します。


Please enter company name:3. 会社名を入力し、Enter キーを押します。


Please enter contact name:4. 担当者名を入力し、Enter キーを押します。


Please enter contact phone:5. 連絡先の電話番号を入力し、Enter キーを押します。


Please enter contact email:6. 連絡先のメールアドレスを入力し、Enter キーを押します。

クラスターの日付と時間NTP（ネットワークタイムプロトコル）サービスは、手動で構成可能です。そのため、クラスター内のすべてのノードを同じタイムソースに確実に同期できます。NTP メソッドは、NTP サーバーを介してクラスターの日時設定を自動的に同期します。あるいは、サービスを手動で構成することにより、クラスターによって報告される日時を設定することもできます。Windows ドメインは、ドメインコントローラーで実行するマスタークロックにドメインのメンバーを同期させるメカニズムを提供するため、OneFSはサービスを使用してクラスターの時間を ActiveDirectory の時間に調整します。外部 NTP サーバーが構成されていない場合、OneFSはWindows ドメインコントローラーを NTP タイムサーバーとして使用します。クラスターとドメインの時間が同期していない状態が 4分を超えると、OneFSは、イベント通知を生成します。

クラスターとドメインの時間が同期していない状態が 5分を超えると、認証が機能しなくなります。

クラスターの日時の設定EMC Isilon クラスターによって使用される日付、時間、タイムゾーンを設定できます。手順

1. isi config コマンドを実行します。コマンドラインプロンプトが変わり、isi config サブシステムに切り替わったことが示されます。

2. date コマンドを実行して現在の日付と時刻を指定します。


クラスターの日付と時間 71

次のコマンドを実行すると、クラスターの時刻が 2015年 7月 22日の午前 9時 47分に設定されます。

date 2015/07/22 09:47:00

3. タイムゾーン設定を検証するには、timezone コマンドを実行します。現在のタイムゾーン設定が表示されます。例：

The current time zone is: Pacific Time Zone4. 有効なタイムゾーンのリストを表示するには、help timezone コマンドを実行します。

次のオプションが表示されます。

Greenwich Mean TimeEastern Time ZoneCentral Time ZoneMountain Time ZonePacific Time ZoneArizonaAlaskaHawaiiJapanAdvanced

5. タイムゾーンを変更するには、timezone コマンドに続けて、表示されるオプションの 1 つを入力します。次のコマンドを実行すると、タイムゾーンが［Hawaii］に変更されます。

timezone Hawaii

新しいタイムゾーン設定を確認するメッセージが表示されます。 help timezone コマンドを実行したときに目的のタイムゾーンが表示されない場合は、timezone Advanced を入力します。警告スクリーンの後に、地域のリストに進みます。地域を選択すると、その地域の特定のタイムゾーンのリストが表示されます。目的のタイムゾーンを選択し（スクロールが必要な場合があります）、OK または Cancel を、isi config プロンプトに戻るまで入力します。

6. commit コマンドを実行して変更を保存し、isi config を終了します。

NTP タイムサーバーの指定1台以上の NTP（ネットワークタイムプロトコル）サーバーを指定して、EMC Isilon クラスターのシステム時間を同期します。クラスターは、NTP サーバーと定期的に通信して、受け取る情報に基づいて日時を設定します。手順

1. isi_ntp_config コマンドを実行し、add server に続けて目的の NTP サーバーのホスト名、IPv4 アドレス、IPv6 アドレスのいずれかを指定します。

次のコマンドを実行すると、ntp.time.server1.com が指定されます。

isi_ntp_config add server ntp.time.server1.com



SMTP メール設定ネットワーク環境で SMTP サーバーを使用する必要がある場合や、SMTP を使用して EMCIsilon クラスターのイベント通知がポートを経由するようにルーティングする場合は、SMTP メール設定を行えます。SMTP の設定には、メールがルーティングされる SMTP のリレーアドレスやポート番号の指定も含まれます。クラスターから送信されるすべてのイベント通知メールの発信元や件名を指定できます。SMTP サーバーが認証をサポートするように構成されている場合、ユーザー名とパスワードを指定できます。また、接続を暗号化するかどうかも指定できます。

SMTP メール設定の構成イベント通知を SMTP メールサーバを介して送信できます。SMTP認証を使用するように SMTPサーバを構成した場合、SMTP認証を有効にすることもできます。

ネットワーク環境で SMTP サーバーを使用する必要がある場合、または SMTP を使用する EMCIsilon クラスターイベント通知をポートを経由するようにルーティングする場合、SMTP メール設定を構成できます。手順

1. isi email コマンドを実行します。次の例では、SMTP メール設定を構成します。

isi email settings modify --mail-relay 10.7.180.45 \--mail-sender [email protected] \--mail-subject "Isilon cluster event" --use-smtp-auth yes \--smtp-auth-username SMTPuser --smtp-auth-passwd Password123 \--use-encryption yes

SMTP メール設定の表示SMTP メール設定を表示できます。手順

1. 次のコマンドを実行します。

isi email settings view

次の例のような情報が表示されます。

Mail Relay: - SMTP Port: 25 Mail Sender: - Mail Subject: - Use SMTP Auth: No SMTP Auth Username: - Use Encryption: No Batch Mode: none User Template: -


SMTP メール設定 73

クラスターの参加モードの構成クラスター参加モードでは、EMC Isilon クラスターにノードを追加する方法と、認証が必要かどうかを指定します。OneFSは EMC Isilon クラスターにノードを追加する際の手動参加モードおよびセキュリティを考慮した参加モードをサポートします。

モード説明

手動クラスターに手動でノードを追加できます（許可は不要）。

セキュリティクラスターにノードを追加する際にはすべて許可が必要で、ノードはWeb管理インターフェイスを通じて追加するか、コマンドラインインターフェイスで isidevices -a add -d<unconfigured_node_serial_no> コマンドを使用する必要があります。

セキュリティを考慮した参加モードを使用する場合、シリアルコンソールのウィザードオプション［2］Joinan existing cluster を使用してノードをクラスターに参加させることはできません。

IsilonSD Edge には、クラスター参加モードを構成することはできません。詳細については、「IsilonSD Edge インストールおよび管理ガイド」を参照してください。

クラスター参加モードの指定ノードが EMC Isilon クラスターにどのように追加されるかを決定する参加モードを指定できます。

次の手順は、IsilonSD Edge には適用できません。

手順1. 次のコマンドを実行して isi config コマンドプロンプトを開きます。

isi config

2. joinmode コマンドを実行します。参加がクラスターによって開始された場合を除き、次のコマンドを実行するとノードはクラスターに参加できません。

joinmode secure



3. 次のコマンドを実行して変更を保存します。

commit

ファイルシステムの設定アクセス時間のトラッキングと文字エンコーディングに関連するグローバルファイルシステム設定をEMC Isilon クラスターで構成できます。各ファイルにアクセスされた時間を監視する、アクセス時間トラッキング機能の有効と無効を切り替えることができます。必要に応じて、クラスターのデフォルトの文字エンコーディングを変更することもできます。

クラスター文字エンコードの指定インストールした後に、EMC Isilon クラスターの文字エンコードセットを変更できます。

OneFS をサポートする文字セットのみを選択できます。 UTF-8は、OneFS ノード用のデフォルト文字セットです。

クラスターの文字エンコードが UTF-8 に設定されていない場合、SMB共有名は大文字と小文字が区別されます。

文字エンコードの変更を適用するには、クラスターを再起動する必要があります。

文字エンコードは、通常、クラスターのインストールの間に設定されます。インストール後に文字エンコード設定を変更すると、誤った場合に、ファイルが読み取れなくなる恐れがあります。 Isilonテクニカルサポートと相談したうえで必要な場合にのみ、設定を変更してください。

手順1. isi config コマンドを実行します。コマンドラインプロンプトが変わり、isi config サブシステムに切り替わったことが示されます。

2. 文字エンコードを変更するには、encoding コマンドを実行します。次のコマンドを実行すると、クラスターのエンコーディングが ISO-8859-1 に設定されます。

encoding ISO-8859-1

3. commit コマンドを実行して変更を保存し、isi config サブシステムを終了します。4. クラスターを再起動して、文字エンコードの変更を適用します。

アクセス時間トラッキングの有効化または無効化アクセス時間トラッキングを有効にして、これに必要な機能をサポートすることができます。デフォルトでは、EMC Isilon クラスターは、ファイルがアクセスされたときにタイムスタンプをトラッキングしません。この機能を有効にして、この機能を使用する OneFS機能をサポートすることができま


ファイルシステムの設定 75

す。たとえば、ファイルが最後にアクセスされた時間に基づいてファイルに一致する SyncIQ ポリシー基準を構成するには、アクセス時間トラッキングを有効にする必要があります。

アクセス時間トラッキングを有効にすると、クラスターのパフォーマンスに影響を与える場合があります。

手順1. atime_enabled システムコントロールを設定してアクセス時間トラッキングを有効化または無効化します。l アクセス時間トラッキングを有効化するには、次のコマンドを実行する。

sysctl efs.bam.atime_enabled=1

l アクセス時間トラッキングを無効化するには、次のコマンドを実行する。

sysctl efs.bam.atime_enabled=0

2. 最終アクセス時刻の更新頻度を指定するには、atime_grace_period システムコントロールを設定します。時間を秒数で指定します。

次のコマンドを実行すると、最終アクセス時刻を 2週間おきに更新するように OneFS が構成されます。

sysctl efs.bam.atime_grace_period=1209600

セキュリティの強化セキュリティの強化は、できるだけ多くのセキュリティリスクを軽減または排除するようにシステムを構成するプロセスです。強化プロファイルを適用すると、OneFS が強化プロファイルを読み取り、プロファイル要件を適用します。必要に応じて、OneFSはノードの強化を妨害している構成上の問題を特定します。たとえば、特定ディレクトリのファイル権限が期待値に設定されていなかったり、必要なディレクトリがなかったりします。問題が見つかった場合、OneFS に問題を解決させるか、解決を延期して手動で問題を修正するかを選択します。

現時点で OneFSは、DISA（米国国防情報システム局）の STIG（Security TechnicalImplementation Guide）強化のみをサポートします。他のセキュリティプロファイルは使用できません。

強化構成がシステムに適切でないと判断した場合は、旧セキュリティ強化プロファイルを復元することができます。強化プロファイルを復元すると、OneFSは、強化の前の、問題（存在する場合）を解決することで実現された構成に戻ります。OneFS に強化を適用するには、アクティブなセキュリティ強化ライセンスが必要で、EMC Isilon クラスターに root ユーザーとしてログインしている必要があります。ライセンスキーを取得する方法については、EMC Isilon担当営業にお問い合わせください。



STIG強化プロファイルSTIG強化プロファイルは、米国国防総省によって設定された構成要件を含んでおり、連邦政府アカウントをサポートする Isilon クラスタのために設計されました。STIG プロファイルを使用してインストールされた Isilon クラスタをとりまくエコシステムも、STIG に準拠する必要があります。Isilon のエンタープライズ環境のお客様のエコシステムが STIG に準拠している可能性は小さく、通常 STIG プロファイルの対象ではありません。連邦政府の APL（Approved Products List）要件を満たすには、OneFS の構成が、強化構成要件を含む複数の STIG（Security Technology Implementation Guide）に準拠している必要があります。STIGは、評価分野と呼ばれる複数のコンピューティングテクノロジー用の STIGを生成する DISA（米国国防情報システム局）によってメンテナンスされます。STIG強化プロファイルには、OneFS に適用されるすべての評価分野の要件が含まれます。STIG強化プロファイルを適用した後で、OneFS の構成は STIG要件を満たすように変更されます。次の変更は、多くのシステム変更の例です。l SSH またはWeb インターフェイスを通じてログインした後、米国政府情報システムにアクセスし

ているというメッセージが表示され、システムの使用条件が表示される。l 各ノードで、SSH とWeb インターフェイスはノードの外部 IP アドレスでのみリスンする。l ローカルユーザーアカウントのパスワードの複雑さ要件が高くなる。パスワードは 14文字以上

で、数字、大文字、小文字、記号を少なくとも 1文字ずつ含んでいる必要があります。l root SSH が無効になる。強化の適用後にログインするには、Web インターフェイスまたはシリア

ルコンソールセッションを通じてのみ root としてログインできます。

STIG プロファイル評価分野STIG強化プロファイルには、システムのいくつかの側面に関する構成要件が含まれます。これらを評価の分野と呼びます。次の表に、評価の各分野と、強化プロファイルによって適用される関連 STIG（SecurityTechnical Implementation Guide）を示します。

評価の分野 STIG

オペレーティングシステム「UNIX Manual SRG」 - バージョン 1、リリース 3

「UNIX Policy Manual SRG」 - バージョン 1、リリース2

Apache Web サーバ「Apache 2.2 STIG UNIX」 - バージョン 1、リリース 4

Web サーバ「Web Server SRG」 - バージョン 1、リリース 1

「Web Policy Manual STIG」 - バージョン 1、リリース1

アプリケーションのセキュリティと開発「Application Security and Development STIG」 -バージョン 3、リリース 8

アプリケーションサーバ「Application Server SRG」 - バージョン 1、リリース 1

ネットワーク「Network Devices STIG」 - バージョン 8、リリース17

ネットワーク上での周辺機器の共有「Storage Area Network STIG」 - バージョン 2、リリース 2

データベース「Database SRG」 - バージョン 1、リリース 1


STIG強化プロファイル 77

評価の分野 STIG

エンクレーブ「Enclave STIG」 - バージョン 4、リリース 5

リムーバブルストレージ「Removable Storage STIG」 - バージョン 1、リリース2

リモートアクセスサーバ「RAS Remote Access Server STIG」 - バージョン2、リリース 7

セキュリティ強化プロファイルの適用EMC Isilon クラスタに、STIG強化プロファイルを適用することができます。

はじめにセキュリティ強化は、root権限を必要とし、コマンドラインインターフェイスでのみ実行できます。強化がクラスタに正常に適用されると、root SSHは強化されたクラスタで許可されません。強化されたクラスタで root ユーザーとしてログインするには、Web インターフェイスかシリアルコンソールセッションを通じて接続する必要があります。OneFS に強化プロファイルを適用するには、アクティブなセキュリティ強化ライセンスが必要です。ライセンスキーを取得する方法については、EMC Isilon担当営業にお問い合わせください。手順

1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、root としてログインします。

2. isi hardening apply コマンドを実行します。次のコマンドは、STIG強化プロファイルをクラスタに適用するように OneFS に指示します。

isi hardening apply --profile=STIG

OneFSは、強化を適用する前に解決する必要のある構成の問題がシステムに含まれているかどうかを確認します。l OneFS に何も問題がなければ、強化プロファイルが適用されます。l OneFS に問題がある場合は、次の例のような出力が表示されます。

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-21: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:



3. 構成の問題を解決します。Do you want to resolve the issue(s)?[Y/N]と表示されるので、次のいずれかのアクションを選択します。l OneFS ですべての問題を解決するには Y を入力します。OneFS による問題解決が完了したら、強化プロファイルを適用します。

l 解決を保留して、見つかった問題をすべて手動で修正する場合は、N を入力します。問題をすべて修正したら、isi hardening apply コマンドを再度実行します。

OneFS が致命的な問題を発見した場合、システムは手動でこの問題を解決するように求めます。OneFSは致命的な問題を解決することはできません。

セキュリティ強化プロファイルの復元EMC Isilon クラスタに適用した強化プロファイルを復元することができます。

はじめにセキュリティ強化の復元は、root権限を必要とし、コマンドラインインターフェイスでのみ実行できます。強化されたクラスタで root ユーザーとしてログインするには、シリアルコンソールセッションを通じて接続する必要があります。Root SSHは強化されたクラスタでは使用できません。OneFS で強化プロファイルを復元するには、アクティブなセキュリティ強化ライセンスが必要です。ライセンスキーを取得する方法については、EMC Isilon担当営業にお問い合わせください。手順

1. クラスター内の任意のノードにシリアルコンソールセッションを開き、root としてログインします。

2. isi hardening revert コマンドを実行します。OneFSはシステムが期待どおりの状態かどうかを確認します。l OneFS で問題が検出されなければ、強化プロファイルが復元されます。l OneFS で問題が検出された場合は、システムは次の例のような出力を表示します。

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-21: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:

3. 構成の問題を解決します。Do you want to resolve the issue(s)?[Y/N]と表示されるので、次のいずれかのアクションを選択します。


セキュリティ強化プロファイルの復元 79

l すべての問題を OneFS が解決するようにするには Y と入力します。OneFSは影響を受ける構成を期待される状態に設定し、強化プロファイルを戻します。

l 解決を延期して、検出された問題をすべて手動で修正するには、N と入力します。すべての問題が修正されるまで、OneFSは復元プロセスを停止します。延期された問題をすべて修正した後で、isi hardening revert コマンドを再度実行します。

OneFS が致命的な問題を発見した場合、システムは手動でこの問題を解決するように求めます。OneFSは致命的な問題を解決することはできません。

セキュリティ強化ステータスの表示EMC Isilon クラスタおよび各クラスタノードのセキュリティ強化ステータスを表示できます。クラスタの全ノードの強化が完了するまで、クラスタは強化されたとみなされません。強化プロセスの実行時に、手動での解決が必要な問題が OneFS で発生したり、手動で解決するために問題を延期したりすると、問題が解決されるか強化プロファイルが正常に適用されるまで、問題が発生したノードは強化されません。問題解決にサポートが必要な場合は、Isilon テクニカルサポートにお問い合わせください。はじめにクラスタのセキュリティ強化ステータスの表示は、root権限を必要とし、コマンドラインインターフェイスでのみ実行できます。強化されたクラスタで root ユーザーとしてログインするには、シリアルコンソールセッションを通じて接続する必要があります。Root SSHは強化されたクラスタでは使用できません。クラスタの強化ステータスを表示するためにセキュリティ強化ライセンスは不要です。手順

1. クラスタの任意のノードに対しコンソールセッションを開き、root としてログインします。2. isi hardening status コマンドを実行して、Isilon クラスタと各ノードのセキュリティ

強化のステータスを表示します。次の例のような出力が表示されます。

Cluster Name: test-clusterHardening Status: Not HardenedProfile: STIGNode status:test-cluster-1: Disabledtest-cluster-2: Enabledtest-cluster-3: Enabled

クラスターの監視EMC Isilon クラスターの正常稼働およびステータスに関する情報を表示し、クラスターやノードのパフォーマンスを監視できます。isi status コマンドを実行すると、次の情報を確認できます。l クラスター、ノード、ドライブの正常稼働状態l ストレージのサイズや使用領域などのデータ



l IP アドレスl スループットl クリティカルなイベントl ジョブのステータス追加のコマンドを使用すると、次の領域のパフォーマンスを確認できます。l クラスターの一般ステータスl クラスターに接続されたプロトコルまたはクライアントごとの統計l ドライブごとのパフォーマンスデータl パフォーマンス履歴データ高度なパフォーマンス監視と分析は、別途ライセンスのアクティブ化が必要な InsightIQ モジュールを介して使用できます。オプションのソフトウェアモジュールの詳細については、EMC Isilon担当営業にお問い合わせください。

クラスターの監視クラスターの稼働状態およびパフォーマンスをチャートと表で監視できます。手順


isi status

ノードのステータスの表示ノードのステータスを表示できます。手順

1. (オプション) isi status コマンドを実行します。次のコマンドを実行すると、LNN（論理ノード番号）が 1 のノードに関する情報が表示されます。

isi status -n 1

クラスターハードウェアの監視EMC Isilon クラスターにあるハードウェアの状態は手動でチェックできるほか、SNMP を有効にしてリモートでコンポーネントを監視することもできます。

ノードハードウェアステータスの表示ノードのハードウェアステータスを表示できます。手順

1. ［Dashboard］ > ［Cluster Overview］ > ［Cluster Status］をクリックします。2. (オプション) ［Status］領域で、ノードの ID番号をクリックします。


クラスターの監視 81

3. ［Chassis and drive status］領域で、［Platform］をクリックします。

シャーシとドライブの状態シャーシとドライブの状態の詳細を表示できます。クラスターでは、さまざまな縮退状態のノードの組み合わせにより、読み取り要求と書き込み要求のいずれかまたは両方が動作するかどうかが決まります。クラスターは、書き込み quorum を失っても、読み取り quorum を保持することがあります。OneFSは、クラスター内のシャーシとドライブのステータスに関する詳細を提供します。次の表で、クラスターで検出する可能性のあるすべての状態について説明します。

IsilonSD Edge を実行している場合は、IsilonSD Management Plug-in を通じてシャーシとドライブの状態の詳細を表示し、管理することができます。詳細については、「IsilonSD Edge

Installation and Administration Guide.」を参照してください。

State 説明仮想マトリックスエラー状態

HEALTHY ノード内のすべてのドライブが正常に機能している。

コマンドラインインターフェイス、Web管理インターフェイス

L3 SSD（ソリッドステートドライブ）は、キャッシュメモリのサイズを増やし、スループット速度を向上させるために、L3（レベル 3）キャッシュとして導入されました。

コマンドラインインターフェイス

SMARTFAIL またはSmartfail orrestripe inprogress

I/O エラーまたはユーザーのリクエストにより、ファイルシステムからのドライブの安全な除去が進行中。SmartFail または読み取り専用状態のノードまたはドライブは、書き込み quorum のみに影響を与える。


NOT AVAILABLE 複数の原因によってドライブを使用できない。ベイをクリックして、この条件に関する詳細情報を表示できる。

Web管理インターフェイスでは、この状態にはERASE およびSED_ERROR コマンドラインインターフェイス状態が含まれる。


X




SUSPENDED この状態は、ドライブのアクティビティが一時的に中断し、ドライブが使用中でないことを示す。この状態は手動で開始し、通常のクラスターアクティビティ中は発生しない。


NOT IN USE オフライン状態のノードは、読み取りと書き込みの両方の quorum に影響を与える。


REPLACE ドライブの SmartFailは正常に行われ、交換の準備ができている。

コマンドラインインターフェイスのみ

STALLED ドライブは停止し、停止の評価を行っている。停止の評価は、低速またはその他の問題があるドライブをチェックするプロセスである。評価の結果に応じて、ドライブが動作を再開するか、SmartFail が行われる。これは推移状態である。


NEW ドライブは新しいかブランクである。これは、isidevコマンドを-a add オプションで実行する際のドライブの状態である。


USED ドライブが追加され、Isilon GUID に含まれているが、ドライブはこのノードからのものではない。このドライブはクラスター用にフォーマットされる可能性が高い。


PREPARING ドライブのフォーマット操作を実行中。フォーマットに成功すると、ドライブの状態が HEALTHY に変更される。


EMPTY ドライブがベイにない。コマンドラインインターフェイスのみ

WRONG_TYPE ドライブタイプがこのノードに対して正しくない。たとえば、SED ノードにSED以外のドライブがある、予期される SATA ド



シャーシとドライブの状態 83


ライブタイプではなく SAS

であるなど。

BOOT_DRIVE ベイ内に起動ドライブを持つ A100 ドライブに固有。


SED_ERROR ドライブは OneFS システムによって確認できない。

Web管理インターフェイスでは、この状態は Notavailable に含まれる。


X

ERASE ドライブは除去する準備ができているが、データが消去されていないため注意が必要。ドライブを手動で消去して、データが削除されていることを保証できる。

Web管理インターフェイスでは、この状態は Notavailable に含まれる。


INSECURE 自己暗号化ドライブのデータは許可されていない従業員がアクセスできる。自己暗号化ドライブは非暗号化データ用には使用しないこと。

Web管理インターフェイスでは、この状態のラベルは UnencryptedSED となる。


X

UNENCRYPTED SED

自己暗号化ドライブのデータは許可されていない従業員がアクセスできる。自己暗号化ドライブは非暗号化データ用には使用しないこと。

Web管理インターフェイスのみ

X




コマンドラインインターフェイスでは、この状態のラベルは INSECURE となる。

バッテリーステータスの確認NVRAM のバッテリーや充電システムのステータスを監視できます。このタスクは、コマンドをサポートするノードハードウェアの OneFS コマンドラインインターフェイスでのみ実行できます。

次の手順は、IsilonSD Edge には適用できません。

手順1. クラスター内の任意のノードへの SSH接続を開きます。2. ノード上のすべての NVRAM のバッテリーや充電システムのステータスを表示するには、isi

batterystatus list コマンドを実行します。次の例のような出力が表示されます。

Lnn Status1 Status2 Result1 Result2----------------------------------------1 Good Good - -2 Good Good - -3 Good Good - -----------------------------------------

SNMP モニタリングSNMP を使用して、ファン、ハードウェアセンサー、電源、ディスクなどの EMC Isilon クラスターハードウェアコンポーネントをリモートで監視できます。この目的のために、デフォルトの Linux SNMP ツールまたは GUI ベースの SNMP ツールを選択して使用します。クラスター上の個々のノードで SNMP モニタリングを有効にできます。また、任意のノードからクラスター情報を監視することもできます。生成された SNMP トラップは、SNMP ネットワークに送信されます。特定のイベントの SNMP トラップを送信し、イベントが発生したときにクラスターがそのサーバーにトラップを送信するネットワークステーションを指定するイベント通知ルールを構成できます。OneFSは、読み取り専用モードで SNMP をサポートします。OneFSは、SNMPバージョン 2c（デフォルト）と SNMPバージョン 3 をサポートします。

OneFSは、SNMPバージョン 1 をサポートしていません。--snmp-v1-v2-access のオプションが OneFS CLI（コマンドラインインターフェイス）コマンド isi snmp settings modify に存在しますが、この機能を有効にすると、OneFSは SNMPバージョン 2c でのみ監視を行います。

SNMPバージョン 3は単独で設定を構成することも、SNMPバージョン 2c とバージョン 3 の両方を構成することもできます。


バッテリーステータスの確認 85

SNMPバージョン 3 を構成する場合、クラスターをクエリーする際に、OneFS にはデフォルト値として SNMP固有のセキュリティレベルの AuthNoPriv が必要です。セキュリティレベルの AuthPrivはサポートされていません。

SNMP の階層にある構成要素は、ディレクトリツリーとよく似たツリー構造で並んでいます。ディレクトリと同じく、文字列が左から右に行くにつれて、識別子が一般的なものから具体的なものへと移行していきます。ただし、ファイル階層とは異なり、各要素は名前だけでなく、番号も付けられます。たとえば、SNMP エンティティ.iso.org.dod.internet.private.enterprises.isilon.oneFSss.ssLoc alNodeId.0は、.1.3.6.1.4.1.12124.3.2.0 にマップされます。この名前の OneFS SNMP 名前空間を参照する部分は、構成要素 12124 です。その番号の右側に続く部分は、 OneFS 固有の監視に関連します。MIB（管理情報ベース）ドキュメントでは、ユーザーが判読可能な管理オブジェクトの名前を定義し、データタイプやその他のプロパティを指定します。Isilon クラスターの SNMP モニタリングのために作成するMIB を OneFS Web管理インターフェイスからダウンロードするか CLI（コマンドラインインターフェイス）を使用して管理できます。MIB は、OneFS ノードの /usr/share/snmp/mibs/ に格納されています。OneFS ISILON-MIB は、以下の 2 つの目的に適います。l 標準MIB で入手できる情報を補強するl 標準MIB では入手できない OneFS固有の情報を提供するISILON-MIBは、登録済みのエンタープライズMIB です。Isilon クラスターには 2種類のMIB ファイルがあります。ISILON-MIB

OneFS統計スナップショットエージェントという NMS（ネットワークモニタリングシステム）からのクエリーに応答する SNMP エージェントのグループを定義します。この名前が示すように、これらのエージェントは、リクエストを受け取った時点で OneFS ファイルシステムの状態のスナップショットを作成し、NMS にこの情報を報告します。

ISILON-TRAP-MIB

トラップの PDU（プロトコルデータユニット）で定義された状況が発生したときに、SNMP トラップを生成し、SNMP モニタリングステーションに送信します。

OneFS MIB ファイルは、OneFS 固有のオブジェクト ID を説明にマップします。/usr/share/snmp/mibs/ など、SNMP ツールが見つけられるディレクトリに MIB ファイルをダウンロードまたはコピーします。名前と OID の自動マッピングを提供するために、Net-SNMP ツールにMIB を読み取らせるには、以下の例に示すように、-m All をコマンドに追加します。

snmpwalk -v2c -c public -m All <node IP> isilon

MIB ファイルがデフォルトの Net-SNMP MIB ディレクトリにない場合、以下の例に示すように、フルパスを指定する必要がある場合があります。3行すべてで、1 つのコマンドであることに注意してください。

snmpwalk -m /usr/local/share/snmp/mibs/ISILON-MIB.txt:/usr \/share/snmp/mibs/ISILON-TRAP-MIB.txt:/usr/share/snmp/mibs \/ONEFS-TRAP-MIB.txt -v2c -C c -c public <node IP> enterprises.onefs



前の例では、クラスターで snmpwalk コマンドが実行されています。ご使用の SNMPバージョンによって、必要な引数が異なる場合があります。

SNMP設定の管理SNMP を使用して、クラスターハードウェアおよびシステム情報を監視できます。Web管理インターフェイスまたはコマンドラインインターフェイスのいずれかを使用して設定を構成できます。クラスターの個々のノードで SNMP モニタリングを有効にできます。また、SNMP を各ノードで有効にすると、いずれのノードからもクラスター全体の情報を監視できます。Isilon クラスターで SNMP を使用する場合、固定のユーザー名 general を使用する必要があります。general ユーザーのパスワードは、Web管理インターフェイスで構成できます。静的 IPv4 または IPv6 アドレスを介して各ノードを直接クエリーするには、NMS（ネットワークモニタリングシステム）を構成する必要があります。この方法によって、全ノードに外部 IP アドレスを設定し、SNMP のクエリーに応答させることができるようになります。SNMP プロキシはデフォルトで有効なため、各ノードでの SNMP実装は、クラスター内のその他のすべてのノード（自分を除く）のプロキシに対して自動的に構成されます。このプロキシ構成によって、サポートされる SNMPバージョンのコンテキスト文字列を使用して、Isilon MIB（管理情報ベース）および標準MIB をシームレスに公開できます。該当するMIB をダウンロードして保存した後、Web管理インターフェイスまたはコマンドラインインターフェイスのいずれかを使用して SNMP モニタリングを構成できます。

SNMP設定の構成SNMP モニタリング設定を構成できます。

SNMP v3 を使用している場合は、EMC Isilon クラスターをクエリーするときに、SNMP固有セキュリティレベルのデフォルト値として AuthNoPriv が必要です。セキュリティレベルの AuthPrivはサポートされていません。

手順l isi snmp settings modify コマンドを実行します。

次のコマンドは、SNMP v3 アクセスを有効にします。

isi snmp settings modify --snmp-v3-access=yes

SNMP モニタリング用のクラスターの構成EMC Isilon クラスターを構成し、SNMP を使用するハードウェアコンポーネントをリモートで監視できます。はじめにSNMPv3 を使用する場合、クラスターをクエリーする際に、OneFS にはデフォルト値として SNMP固有のセキュリティレベルの AuthNoPriv が必要です。セキュリティレベルの AuthPrivはサポートされていません。SNMP モニタリングの有効化または無効化、バージョンごとの SNMP アクセスの許可、その他の設定の構成（一部はオプション）を実行できます。すべての SNMP アクセスは読み取り専用です。


SNMP モニタリング 87

イベントを送信するイベント通知ルールを構成しないと、Isilon クラスターは SNMP トラップを生成しません。

手順1. ［Cluster Management］ > ［General Settings］ > ［SNMP Monitoring］をクリックします。

2. ［SNMP Service Settings］で、［Enable SNMP Service］チェックボックスをクリックします。SNMP サービスはデフォルトで有効になっています。

3. 使用するMIB ファイル（ベースまたはトラップ）をダウンロードします。

ブラウザーに固有のダウンロードプロセスに従います。4. /usr/share/snmp/mibs/ など、SNMP ツールが見つけられるディレクトリに MIB

ファイルをコピーします。Net-SNMP ツールにMIB を読み取らせて自動 OID命名マッピングを提供するには、例のように、-m All をコマンドに追加します。

snmpwalk -v2c -c public -m All <node IP> isilon

5. プロトコルが SNMPv2 の場合、［Allow SNMPv2 Access］チェックボックスが選択されていることを確認します。SNMPv2はデフォルトで選択されています。

6. ［SNMPv2 Read-Only Community Name］フィールドに、適切なコミュニティ名を入力します。デフォルトは I$ilonpublic です。

7. SNMPv3 を有効にするには、［Allow SNMPv3 Access］チェックボックスをクリックします。8. 次の手順により SNMP v3設定を構成します。

a.［SNMPv3 Read-Only User Name］フィールドに、SNMPv3 セキュリティ名を入力して、読み取り専用権限を持つユーザーの名前を変更します。デフォルトの読み取り専用ユーザーは、［general］です。

b.［SNMPv3 Read-Only Password］フィールドに、読み取り専用ユーザーの新しいパスワードを入力し、新規 SNMPv3認証パスワードを設定します。

デフォルトのパスワードは［password］です。パスワードを変更してセキュリティを高めることをお勧めします。パスワードは、少なくとも 8文字の長さである必要があり、スペースを含めることはできません。

c. 確認のために新しいパスワードを［Confirm password］フィールドに入力します。9. ［SNMP Reporting］領域で、クラスターの説明を［Cluster Description］フィールド

に入力します。10. 連絡先のメールアドレスを［System Contact Email］フィールドに入力します。11. ［Save Changes］をクリックします。

SNMP設定の表示SNMP モニタリング設定を確認できます。



手順l 次のコマンドを実行します。

isi snmp settings view

コマンドによって生成された出力例を次に示します。

System Location: unset System Contact: [email protected] Snmp V1 V2C Access: Yes Read Only Community: I$ilonpublic Snmp V3 Access: NoSnmp V3 Read Only User: general SNMP Service Enabled: Yes

イベントとアラートOneFS は、継続的にクラスタの稼働状態とパフォーマンスを監視し、注意を必要とする状況が発生することがある場合にイベントを生成します。イベントはファイルシステムの整合性、ネットワーク接続、ジョブ、ハードウェア、その他クラスタの重要な操作やコンポーネントに関連するものとなります。イベントがキャプチャされると、OneFS によってそれらが分析されます。同様の根本原因を持つイベントは、イベントグループに整理されます。

イベントタイプ ID ごとの個々のイベントタイプの説明については、「OneFS イベントリファレンス」を参照してください。ハードウェアイベントなどの特定のイベントは、IsilonSD Edge には適用されません。

イベントグループは、特定の状況に関連する多数のイベントに対する単一の管理ポイントです。監視、無視、解決する必要があるイベントグループを指定できます。アラートは、イベントグループで発生した変更を報告するメッセージです。イベントグループに関連するアラートを配信する方法を制御できます。アラートは、チャネルを通じて配信されます。チャネルを作成して構成することにより、特定の対象者にアラートを送信し、チャネルが配信するコンテンツを制御し、アラートの頻度を制限できます。

イベントの概要イベントは、データワークフロー、メンテナンス操作、クラスターのハードウェアコンポーネントに関連する、個々の発生や状態を示しています。OneFS には、クラスター操作の監視と情報収集を常時行うプロセスがあります。コンポーネントまたは操作のステータスが変更された場合、その変更はイベントとして取得され、カーネルレベルで優先度キューに配置されます。すべてのイベントには、イベントのコンテキストを確立する際に有効な 2 つの ID番号が付けられます。l イベントタイプ IDは、発生したイベントのタイプを示します。l イベントインスタンス IDは、イベントタイプの特定の発生に固有の一意の番号です。イベントが

カーネルキューに送信されるときに、イベントインスタンス ID が割り当てられます。インスタンスID を参照すると、イベントが発生した正確な時間を決定することができます。


イベントとアラート 89

個々のイベントを表示することができます。ただし、イベントとアラートをイベントグループレベルで管理します。

イベントグループの概要イベントグループは、クラスター上の 1 つの状況に関連する症状である個々のイベントのコレクションです。イベントグループは、クラスター上の状況に対応して生成された複数のイベントインスタンスに対する単一の管理ポイントになります。たとえば、ノード内のシャーシファンに障害が起きた場合、OneFSは、障害が発生したファン自体と、ノード内の温度閾値を超えたことの両方に関連する複数のイベントを収集する可能性があります。ファンに関連するすべてのイベントは、1 つのイベントグループで表されます。単一のコンタクトポイントがあるため、多数のイベントを個別に管理する必要はありません。一貫性のある単一の問題として、この状況を処理できます。イベントのすべての管理は、イベントグループレベルで実行されます。イベントグループは、解決済みあるいは無視されたというマークを付けることができます。イベントグループに対するアラートの配信方法とタイミングも構成できます。

アラートの概要アラートは、イベントグループで発生した変更を通知するメッセージです。任意のポイントインタイムで、クラスタで発生している状況を追跡するイベントグループを表示できます。ただし、イベントグループ内で変更があった場合にプロアクティブに通知するアラートを作成することもできます。たとえば、新しいイベントがイベントグループに追加された場合、イベントグループが解決された場合、イベントグループの重大度が変更された場合にアラートを生成できます。特定のイベントグループや条件、重大度に対して、または限定された期間中にのみアラートを生成するようにクラスタを構成することができます。アラートは、チャネルを通じて提供されます。アラートを受け取るユーザーと時期を決定するチャネルを構成することができます。

チャネルの概要チャネルとは、イベントグループがアラートを送信するパスです。アラートが生成されるとき、アラートに関連するチャネルは、アラートの配信方法とアラートの受信者を決定します。次のようなメカニズムのいずれかによってアラートを配信するチャネルを構成することができます。それらは SMTP、SNMP、または ConnectEMC です。配信メカニズムが必要とするルーティングおよびラベルの情報を指定することもできます。

イベントグループの変更と表示イベントを表示し、イベントグループのステータスを変更できます。

イベントグループの表示イベントグループの詳細を表示することができます。



手順1. (オプション) 表示するイベントグループのグループ ID を識別するには、次のコマンドを実行します。

isi event groups list

2. 特定のイベントグループの詳細を表示するには、isi event groups view コマンドを実行してイベントグループ ID を指定します。

次のコマンドの例は、イベントグループ ID が 65686 のイベントグループの詳細を表示します。

isi event groups view 65686

次の例のような出力が表示されます。

ID: 65686 Started: 08/15 02:12Causes Long: Node 2 offline Last Event: 2015-08-15T03:01:17 Ignore: NoIgnore Time: Never Resolved: Yes Ended: 08/15 02:46 Events: 6 Severity: critical

イベントグループのステータスの変更イベントグループを無視するか、解決することができます。手順

1. (オプション) 変更するイベントグループのグループ ID を特定するには、次のコマンドを実行します。


2. イベントグループのステータスを変更するには、isi event groups modify コマンドを実行します。すべてのイベントグループのステータスを一度に変更するには、isi eventgroups bulk コマンドを実行します。次のコマンド例では、イベントグループ ID が 7 のイベントグループのステータスを無視に変更します。

isi event groups modify 7 --ignored true

次のコマンド例では、すべてのイベントグループのステータスを解決済みに変更します。

isi event groups bulk --resolved true

イベントの表示指定のイベントの詳細を表示できます。


イベントグループの変更と表示 91

手順1. (オプション) 表示するイベントのインスタンス ID を識別するには、次のコマンドを実行します。

isi event events list

2. 指定のイベントの詳細を表示するには、isi event events view コマンドを実行してイベントのインスタンス ID を指定します。

次のコマンド例は、インスタンス ID が 3.121 のイベントの詳細を表示します。

isi event events view 3.121


ID: 3.121Eventgroup ID: 7 Event Type: 200020001 Message: Gigabit Ethernet link ext-1 (vmx1) running below capacity Devid: 3 Lnn: 3 Time: 2015-08-04T16:02:10 Severity: warning Value: 1.0

アラートの管理アラートを表示、作成、変更、削除して、イベントグループについて提供する情報を特定することができます。

アラートの表示指定のアラートの詳細を表示できます。手順

1. (オプション) 表示するアラートのアラート ID を識別するには、次のコマンドを実行します。

isi event alerts list

2. 指定のアラートの詳細を表示するには、isi event alerts view コマンドを実行し、アラートの名前を指定します。次のコマンド例は、NewExternal という名前のイベントの詳細を表示します。

isi event alerts view NewExternal

アラート名は大文字と小文字が区別されます。次の例のような出力が表示されます。

Name: NewExternalEventgroup: 3 Category: 200000000, 700000000, 900000000



Channel: RemoteSupport Condition: NEW

新しいアラートの作成イベントグループの特定の更新を示すために、新しいアラートを作成することができます。手順

1. isi event alerts create コマンドを実行します。次のコマンドでは、Hardware という名前のアラートを作成し、アラート条件をNEW_EVENTS に設定して、イベントを RemoteSupport としてブロードキャストするチャネルを設定します。

isi event alerts create Hardware NEW-EVENTS --channel RemoteSupport

次のコマンドでは、ExternalNetwork という名前のアラートを作成し、アラート条件を NEWに設定し、ソースイベントグループを ID番号 3 のイベントグループに設定し、イベントをRemoteSupport としてブロードキャストするチャネルを設定し、重大度をクリティカルに設定して、アラートの上限を 10 に設定します。

isi event alerts create ExternalNetwork NEW --eventgroup 3 --channel RemoteSupport --severity critical --limit 10

アラートの変更作成したアラートを変更することができます。手順

1. (オプション) 変更するアラートの名前を識別するには、次のコマンドを実行します。


2. アラートを変更するには、isi event alerts modify コマンドを実行します。次のコマンド例では、ExternalNetwork という名前のアラートを変更します。これは、アラートの名前を ExtNetwork に変更して、イベントグループ ID番号 131091 を持つイベントグループを追加し、重大度の値がクリティカルのイベントグループに対してのみアラートが送信されるようにフィルタリングすることによって行います。

isi event alerts modify ExternalNetwork --name ExtNetwork --add-eventgroup 131091 --severity critical

アラートの削除作成したアラートを削除することができます。手順

1. (オプション) 削除するアラートの名前を識別するには、次のコマンドを実行します。



アラートの管理 93

2. アラートを削除するには、isi event alerts delete コマンドを実行します。次のコマンド例を実行すると、ExtNetwork という名前のアラートが削除されます。

isi event alerts delete ExtNetwork

アラート名は大文字と小文字が区別されます。3. yes と入力して、削除を確定します。

チャネルの管理チャネルを表示、作成、変更、削除して、イベントグループ情報の提供方法を特定することができます。

チャネルの表示指定のチャネルの詳細を表示できます。手順

1. (オプション) 表示するチャネルの名前を識別するには、次のコマンドを実行します。

isi event channels list

2. チャネルの詳細を表示するには、isi event channels view コマンドを実行して、チャネルの名前を指定します。次のコマンド例は、Support という名前のチャネルの詳細を表示します。

isi event channels view Support

チャネル名は大文字と小文字が区別されます。次の例のような出力が表示されます。

ID: 3 Name: Support Type: smtp Enabled: YesExcluded Nodes: 2 Address: [email protected] Send As: [email protected] Subject: Support Request SMTP Host: - SMTP Port: 25 SMTP Use Auth: No SMTP Username: - SMTP Password: - SMTP Security: - Batch: NONE Enabled: Yes Allowed Nodes: 1

新しいチャネルの作成アラート情報を送信するための新しいチャネルを作成し、構成できます。



手順1. isi event channels create コマンドを実行します。次のコマンドでは、Support という名前のチャネルを作成し、タイプを EMCConnect に設定します。

isi event channels create Support connectemc

次のコマンドでは、Meeting という名前のチャネルを作成し、タイプを SNMP に設定して、SNMP ホストを hostname、SNMP コミュニティ文字列を public に設定します。

isi event channels create Meeting snmp --host hostname --community public

チャネルの変更作成したチャネルを変更することができます。手順

1. (オプション) 変更するチャネルの名前を識別するには、次のコマンドを実行します。


2. チャネルを変更するには、isi event channels modify コマンドを実行します。次のコマンド例では、送信元メールアドレスを [email protected] に変更することで、Support という名前のチャネルを変更します。

isi event channels modify Support --send-as [email protected]

次のコマンド例では、SMTP ユーザー名を admin に変更し、SMTPパスワードをp@ssword に変更することで、Support という名前のチャネルを変更します。

isi event channels modify Support --smtp-username admin --smtp-password p@ssword

チャネルの削除作成したチャネルを削除することができます。はじめに現在アラートによって使用されているチャネルを削除することはできません。アラートからチャネルを削除するには、isi event alerts modify コマンドを実行します。手順

1. (オプション) 削除するチャネルの名前を識別するには、次のコマンドを実行します。


2. チャネルを削除するには、isi event channels delete コマンドを実行します。


チャネルの管理 95

次のコマンド例では、Support という名前のアラートを削除します。

isi event channels delete Support

チャネル名は大文字と小文字が区別されます。3. yes と入力して、削除を確定します。

保守とテストイベント設定を変更して、イベントデータの保存期間とストレージの制限を指定したり、メンテナンスウィンドウのスケジュールを設定したり、テストイベントを送信したりできます。

イベントデータの保存期間とストレージの制限クラスター上でのイベントデータの処理方法を決定する設定を変更することができます。デフォルトでは、解決したイベントグループに関連するデータは無期限に保持されます。解決したイベントグループのデータをシステムが一定日数後に自動的に削除するように、保存期間の制限を設定できます。クラスターでイベントデータが占有できるメモリの量を制限することもできます。デフォルトでは、メモリの制限は、クラスター上の合計メモリの 1 テラバイトごとに 1 メガバイトです。1 メガバイトから 100 メガバイトまでのメモリに、この制限を調整することができます。小規模のクラスターの場合、別途確保される最小メモリ量は 1 ギガバイトです。クラスターがストレージの制限に達すると、システムによって新しいデータを収容できるよう、最も古いイベントグループデータの削除が開始されます。

イベントストレージ設定の表示ストレージと保守の設定を表示することができます。手順

1. 表示するには、isi event settings view コマンドを実行します。次の例のような出力が表示されます。

Retention Days: 90 Storage Limit: 1 Maintenance Start: 2015-08-05T08:00:00Maintenance Duration: 4H Heartbeat Interval: daily

イベントストレージ設定の変更ストレージと保守の設定を変更することができます。手順

1. 設定を変更するには、isi event settings modify コマンドを実行します。次のコマンド例では、解決済みのイベントグループが保存される日数を 120 に変更します。

isi event settings modify --retention-days 120



次のコマンド例では、1 TB の合計クラスターストレージごとにイベントデータのストレージ限度を 5 MB に変更します。

isi event settings modify --storage-limit 5

メンテナンスウィンドウメンテナンスウィンドウのスケジュールを設定するには、メンテナンスの開始時刻と期間を設定します。スケジュール設定されたメンテナンスウィンドウ期間中は、システムにより引き続きイベントがログに記録されますが、アラートは生成されません。メンテナンスウィンドウのスケジュールを設定すると、クラスターの保守手順に関連する無害のアラートによってチャネルが溢れることが防止されます。アクティブなイベントグループにより、スケジュール設定された保守期間が終了すると、自動的にアラートの生成が再開されます。

メンテナンスウィンドウのスケジュールメンテナンスウィンドウのスケジュールを設定して、クラスターの保守を実行しているときにアラートを停止することができます。手順

1. メンテナンスウィンドウをスケジュールするには、isi event settings modify コマンドを実行します。次のコマンド例では、2015年 9月 1日午後 11:00 から始まり、2日間続くようにメンテナンスウィンドウをスケジュールします。

isi event settings modify --maintenance-start 2015-09-01T23:00:00 --maintenance-duration 2D

テストイベントとアラートハートビートイベントと呼ばれるテストイベントは自動的に生成されます。また、手動でテストアラートを生成することもできます。システムが正しく機能していることを確認するために、テストイベントはクラスター内の各ノードから 1イベントずつ、毎日自動的に送信されます。これらはハートビートイベントと呼ばれ、HeartbeatEvent という名前のイベントグループに通知されます。チャネルの構成をテストするには、手動でシステムからテストアラートを送信します。

テストアラートの作成手動でテストアラートを生成することができます。手順

1. 手動でテストアラートを生成するには、isi event test create コマンドを実行します。次のコマンド例では、Test message というメッセージを表示するテストアラートを作成します。

isi event test create "Test message"


保守とテスト 97

ハートビートイベントの変更ハートビートイベントを生成する頻度を変更することができます。

この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi event settings modify コマンドを実行して、ハートビートイベントの間隔を

変更します。次のコマンド例は、週次ベースで送信されるようにハートビートイベントを変更します。

isi event settings modify --heartbeat-interval weekly

クラスターのメンテナンストレーニングを受けたサービス担当者は、Isilon ノードのコンポーネントを交換したりアップグレードできます。Isilon テクニカルサポートは、パフォーマンスを向上させるため、ノードコンポーネントの交換やコンポーネントのアップグレードを支援できます。

ノードコンポーネントの交換ノードコンポーネントで障害が発生した場合、Isilon テクニカルサポートはお客様と連携して、迅速にコンポーネントを交換し、そのノードを正常に稼働している状態に戻します。トレーニングを受けたサービス担当者は、以下の FRU（フィールド交換可能ユニット）を交換できます。

これらのコンポーネントは、IsilonSD ノードには適用されません。

l バッテリーl ブートフラッシュドライブl SATA/SAS ドライブl メモリー（DIMM）l ファンl フロントパネルl 侵入スイッチl NIC（ネットワークインターフェイスカード）l InfiniBand カードl NVRAM カードl SAS コントローラーl 電源



アラートを Isilon に送信するようにクラスターを構成した場合、Isilon テクニカルサポートは、コンポーネントを交換する必要が生じたときに、お客様に連絡します。アラートを Isilon に送信するようにクラスターを構成しない場合、サービスリクエストを開始する必要があります。

ノードコンポーネントのアップグレードノードコンポーネントをアップグレードして、追加の容量を増やしたり、パフォーマンスを向上させることができます。トレーニングを受けたサービス担当者は、以下のコンポーネントを現場でアップグレードすることができます。

これらのノードコンポーネントは、IsilonSD Edge には適用されません。

l ドライブl メモリー（DIMM）l NIC（ネットワークインターフェイスカード）ノードのコンポーネントをアップグレードする場合、Isilon テクニカルサポートに問い合わせてください。

ドライブのファームウェアの管理クラスター内のいずれかのドライブのファームウェアが古くなった場合、クラスターのパフォーマンスまたはハードウェアの信頼性が影響を受けることがあります。全体的なデータの整合性を確保するために、ドライブサポートパッケージまたはドライブファームウェアパッケージをインストールすることで、ドライブのファームウェアを最新リビジョンに更新できます。

ドライブのファームウェアおよび関連する特徴と機能は、IsilonSD Edge には適用されません。

クラスター上のドライブのファームウェアが最新リビジョンかどうかは、ドライブファームウェアのステータスを表示することで確認できます。

ドライブのファームウェアを更新する前に、EMC Isilon テクニカルサポートに連絡することをお勧めします。

ドライブのファームウェアの更新の概要ドライブのファームウェアは、ドライブサポートパッケージまたはドライブファームウェアパッケージを通じて更新できます。クラスターで実行している OneFSバージョンおよびノード上のドライブのタイプに応じて、http://support.emc.com からこれらのいずれかのパッケージをダウンロードしてインストールします。

ドライブサポートパッケージOneFS 7.1.1以降を実行しているクラスターでは、ドライブサポートパッケージをインストールして、ドライブファームウェアを更新します。ファームウェアの更新を完了するために、影響を受けるノードを再起動する必要はありません。ドライブサポートパッケージは、次の追加機能を提供します。l 次のドライブ構成情報を更新する。

n サポートされるドライブの一覧


ノードコンポーネントのアップグレード 99

http://support.emc.com/

http://support.emc.com/

n ドライブファームウェアのメタデータn SSD磨耗モニタリングデータn SAS および SATA の設定と属性

l 新規および交換用ドライブがフォーマットされてクラスターで使用される前に、これらのドライブのドライブファームウェアを最新リビジョンに自動的に更新する。これは、OneFS 7.2以降を実行しているクラスターにのみ適用されます。

使用中のドライブのファームウェアは、自動的に更新できません。

ドライブファームウェアパッケージ7.1.1 より前の OneFSバージョンを実行しているクラスター、またはブートフラッシュ非搭載のノードがあるクラスターでは、クラスター全体のドライブファームウェアパッケージをインストールして、ドライブのファームウェアを更新します。ファームウェアの更新を完了するには、影響を受けるノードを再起動する必要があります。

ドライブサポートパッケージのインストールOneFS 7.1.1以降を実行しているクラスタでは、最新のドライブサポートパッケージをインストールして、ドライブファームウェアをサポートされている最新リビジョンに更新します。

はじめにインストールを開始する前に、「最新のドライブサポートパッケージのインストールの考慮事項」セクションを参照してください。手順

1. ドライブサポートパッケージの使用可能なすべてのバージョンが一覧表示されている EMCサポートページに移動します。

2. ドライブサポートパッケージの最新バージョンをクリックし、ファイルをダウンロードします。

パッケージの適切なバリアントを選択するには、最新のドライブサポートパッケージのインストールの考慮事項に関するセクションを参照してください。パッケージをダウンロードできない場合は、EMC Isilon テクニカルサポートにお問い合わせください。

3. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。4. ディレクトリ構造 /ifs/data/Isilon_Support/dsp を作成するか、可用性を確

認します。5. SCP、FTP、SMB、NFS、その他のサポートされるデータアクセスプロトコルを通じて、ダウ

ンロードしたファイルを dsp ディレクトリにコピーします。6. tar コマンドを実行してファイルを解凍します。

たとえば、ドライブサポートパッケージに対して選択したバリアントに基づいて、次のコマンドのいずれかを実行することでパッケージを解凍します。

tar -zxvf Drive_Support_<version>.tgztar –zxvf Drive_Support_<version>_No_SSD.tgz

7. isi_dsp_install コマンドを実行してパッケージをインストールします。



https://support.emc.com/search/?product_id=15209&resource=DOWN&AlloftheseWrds=drive%20support%20package&SearchWithin=true&adv=y

https://support.emc.com/search/?product_id=15209&resource=DOWN&AlloftheseWrds=drive%20support%20package&SearchWithin=true&adv=y

たとえば、ドライブサポートパッケージに対して選択したバリアントに基づいて、次のコマンドのいずれかを実行することでパッケージをインストールします。

isi_dsp_install Drive_Support_<version>.tarisi_dsp_install Drive_Support_<version>_No_SSD.tar

l ドライブサポートパッケージをインストールするには、isi_dsp_install コマンドを実行する必要があります。isi pkg コマンドを使用しないでください。

l isi_dsp_install を実行すると、クラスタ全体にドライブサポートパッケージがインストールされます。

l インストール処理では、ドライブサポートパッケージからの必要なすべてのファイルのインストールに続いて、パッケージのアンインストールが処理されます。インストール後または最新バージョンのインストール前にパッケージを削除する必要はありません。

ドライブのファームウェアのステータス情報ドライブのファームウェアのステータスに関する情報は、OneFS のコマンドラインインターフェイスで確認できます。次の例は、isi devices drive firmware list コマンドの出力を示しています。

your-cluster-1# isi devices drive firmware listLnn Location Firmware Desired Model------------------------------------------------------2 Bay 1 A204 - HGST HUSMM1680ASS2002 Bay 2 A204 - HGST HUSMM1680ASS2002 Bay 3 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 4 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 5 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 6 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 7 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 8 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 9 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 10 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 11 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 12 MFAOABW0 MFAOAC50 HGST HUS724040ALA640------------------------------------------------------Total: 12

各項目の意味は以下のとおりです。LNN

ドライブが存在しているノードの LNN が表示されます。

Location

ドライブがインストールされているベイ番号が表示されます。

Firmware

ドライブで現在実行されているファームウェアのバージョン番号が表示されます。


ドライブのファームウェアの管理 101

Desired

ドライブのファームウェアをアップグレードする必要がある場合、ファームウェア更新後のドライブファームウェアのバージョン番号が表示されます。

Model

ドライブのモデル番号が表示されます。

isi devices drive firmware list コマンドは、ローカルノードのみのドライブのファームウェア情報を表示します。ローカルクラスタだけでなく、クラスタ全体のドライブファームウェア情報を表示するには、次のコマンドを実行します。isi devices drive firmware list --node-lnn all

ドライブファームウェアの更新ドライブのファームウェアを最新リビジョンに更新できます。ドライブファームウェアを更新すると、全体的なデータの整合性が確保されます。この処理手順では、最新のドライブサポートパッケージをインストールした後にブートフラッシュドライブのあるノードのドライブファームウェアを更新する方法について説明します。ブートフラッシュドライブのあるノードのリストについては、「Isilon Drive Support Package Release Notes」のシステム要件のセクションを参照してください。ブートフラッシュドライブのないノードのドライブファームウェアを更新するには、最新のドライブファームウェアパッケージをダウンロードしてインストールします。詳細については、最新のドライブファームウェアパッケージのリリースノートを参照してください（https://support.emc.com/）。

ファームウェアの更新中にドライブの電源を入れ直すと、予期しない結果になることがあります。ベストプラクティスとして、クラスタでドライブのファームウェアを更新しているときは、ノードをリスタートまたは電源をオフにしないでください。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. クラスタ全体のドライブファームウェアを更新するには、次のコマンドを実行します。

isi devices drive firmware update start all --node-lnn all特定ノード専用にドライブファームウェアを更新するには、次のコマンドを実行します。isi devices drive firmware update start all --node-lnn<node-number>

1台のノードの更新が完了するのを待って、次のノードの更新を開始する必要があります。ノードの更新完了を確認するには、次のコマンドを実行します。isi devices drive firmware update listドライブがまだ更新中の場合は、ステータスが FWUPDATE と表示されます。

1台のドライブのドライブファームウェアの更新には、ドライブモデルに応じて約 15秒かかります。OneFSは、ドライブをシーケンシャルに更新します。



https://support.emc.com/

ドライブのファームウェア更新の確認ノード内のドライブのファームウェアを更新した後は、ファームウェアが正しく更新され、影響を受けるドライブが問題なく動作していることを確認します。手順

1. 次のコマンドを実行して、現在進行中のドライブファームウェア更新がないことを確認します。

isi devices drive firmware update list

ドライブが現在更新されている場合は、ステータス列に[FW_UPDATE]が表示されます。2. 次のコマンドを実行して、すべてのドライブが表示されたことを確認します。

isi devices drive firmware list --node-lnn all

すべてのドライブが更新された場合、Desired FW列は空になります。3. 次のコマンドを実行して、影響を受けるすべてのドライブが正常な状態であることを確認しま

す。

isi devices drive list --node-lnn all

ドライブが正常な状態で動作している場合は、ステータス列に[HEALTHY]が表示されます。

ドライブファームウェアの自動更新OneFS 7.2以降を実行しているクラスターでは、最新のドライブサポートパッケージをノードにインストールして、新規または交換用ドライブのファームウェアを自動的に更新します。ドライブサポートパッケージ内の情報によって、ドライブがフォーマットされて使用される前にドライブのファームウェアを更新する必要があるかどうかが決まります。更新が使用可能な場合、ドライブは最新のファームウェアで自動的に更新されます。

クラスターに追加された新規または交換用ドライブは、ファームウェアのリビジョンのステータスに関係なくフォーマットされます。特定のノードでドライブのファームウェアのステータスを表示することで、ファームウェア更新の失敗を特定できます。失敗した場合は、ノード上で［fwupdate］アクションを指定して isi devices コマンドを実行して、ファームウェアを手動で更新します。たとえば、次のコマンドを実行して、ノード 1 のファームウェアを手動で更新します。

isi devices -a fwupdate -d 1

クラスターノードの管理ノードを追加したり、クラスターからノードを削除できます。クラスター全体をシャットダウンしたり、再起動することもできます。


クラスターノードの管理 103

クラスタへのノードの追加既存の EMC Isilon クラスタに新しいノードを追加できます。

はじめにノードをクラスタに追加する前に、内部 IP アドレスを使用できることを確認します。新規ノードを追加する前に、必要に応じて IP アドレスを追加します。

新しいノードがクラスタとは OneFS の異なるバージョンを実行する場合、システムは、OneFS のノードバージョンを変更してクラスタに一致させます。

l OneFS と EMC Isilon のハードウェア間のバージョン互換性の詳細については、「Isilon

Supportability and Compatibility Guide」を参照してください。l IsilonSD Edge を実行している場合、「IsilonSD Edge インストールおよび管理ガイド」の手順に

従い、IsilonSD Management Plug-in を通じて IsilonSD クラスタにノードを追加します。

手順1. 追加するノードのシリアル番号を特定するには、次のコマンドを実行します。

isi devices node list

2. ノードをクラスタに結合するには、次のコマンドを実行します。

isi devices node add <serial-number>

たとえば、次のコマンドではシリアル番号 43252 でノードをクラスタに結合します。

isi devices node add 43252

クラスターからのノードの削除クラスター-からノードを削除できます。ノードを削除すると、システムはノードの SmartFail を実行し、そのノード上のデータがクラスター内の他のノードに転送されるようにします。クラスターからストレージノードを削除すると、そのノードからデータが削除されます。システムがデータを削除する前に、FlexProtect ジョブは、クラスター内に残るノード間でデータを安全に再分配します。手順

1. isi devices コマンドを実行します。次のコマンドを実行すると、LNN（論理ノード番号）が 2 のノードがクラスターから削除されます。

isi devices --action smartfail --device 2



IsilonSD Edge を実行している場合、「IsilonSD Edge インストールおよび管理ガイド」の手順に従って、IsilonSD クラスターからノードを削除します。

ノードの LNN の変更ノードの LNN（論理ノード番号）を変更できます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。クラスター内のノードは、任意の名前または 1～144 の整数に名称変更できます。ノードの名前を変更すると、LNN がリセットされます。

l 任意の整数を LNN として指定できますが、144 より大きい整数は指定しないことをお勧めします。144 より大きい LNN を指定すると、パフォーマンスが大幅に低下することがあります。

l IsilonSD ノードの LNNは変更できないため、IsilonSD Edge を実行している場合は、これらの手順を無視してください。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. 次のコマンドを実行して isi config コマンドプロンプトを開きます。

isi config

3. lnnset コマンドを実行します。次のコマンドは、ノードの LNN を 12 から 73 に切り換えます。

lnnset 12 73

4. 「commit」と入力します。結果新しいノード名が自動的に変更される前に、SSH セッションにリコネクトすることが必要な場合があります。

クラスタの再起動またはシャットダウンEMC Isilon クラスタをリスタートまたはシャットダウンできます。手順

1. isi config コマンドを実行します。コマンドラインプロンプトが変化し、isi config サブシステムにいることが示されます。

2. クラスタ上のノードをリスタートまたはシャットダウンします。l クラスタ上の単一ノードまたはすべてのノードをリスタートするには、reboot コマンドを実行する。


クラスターノードの管理 105

次のコマンドを実行すると、LNN（論理ノード番号）を指定することで単一ノードがリスタートされます。

reboot 7

l クラスタ上の単一ノードまたはすべてのノードをシャットダウンするには、shutdown コマンドを実行する。次のコマンドを実行すると、クラスタ上のすべてのノードがシャットダウンされます。

shutdown all

OneFS のアップグレードOneFS オペレーティングシステムのアップグレードには、ローリングアップグレードと同時アップグレードの 2 つのオプションがあります。OneFS ソフトウェアをアップグレードする前に、アップグレード前チェックを実行する必要があります。ローリングアップグレードでは、EMC Isilon クラスタ内の各ノードを個別にアップグレードし、順番に再起動します。ローリングアップグレード中は、クラスタはオンラインのままで、サービスを中断することなく、クライアントにサービスを提供し続けますが、SMB クライアントでは一部の接続がリセットされる場合があります。ローリングアップグレードは、ノード番号ごと順番に実行されます。そのため、ローリングアップグレードの実行には、同時アップグレードよりも長い時間がかかります。アップグレード処理での最後のノードは、アップグレード処理を開始するために使用したノードです。

ローリングアップグレードは、すべてのクラスターには使用できません。アップグレードの計画を立て、アップグレードするクラスタを準備し、オペレーティングシステムでアップグレードを実行する方法の詳細については、OneFS Upgrades - Isilon Info Hub を参照してください。

同時アップグレードでは、新しいオペレーティングシステムをインストールして、クラスタ内のすべてのノードを一斉に再起動します。同時アップグレードは、ローリングアップグレードよりも短い時間で行えますが、アップグレードプロセス中はサービスを一時的に中断する必要があります。アップグレードプロセスを実行している間は、データにアクセスできません。同時アップグレードまたはローリングアップグレードのいずれかを開始する前に、OneFSは現在のクラスタとオペレーティングシステムを新しいバージョンのものと比較し、構成の互換性（SMB、LDAP、SmartPools）、ディスクの可用性、重要なクラスタイベントが存在しないことなど、クラスタが特定の基準を満たしていることを確認します。アップグレードによってクラスタにリスクが発生する場合、OneFSはユーザーに警告を表示し、リスクに関する情報を提供して、アップグレードを続行するかどうかを確認するプロンプトを表示します。クラスタがアップグレード前の基準を満たしていない場合、アップグレードは続行されず、サポートされないステータスがリストされます。

EMC Isilon テクニカルサポートは、オプションのアップグレード前チェックを実行することを推奨します。アップグレードを開始する前に、クラスタがアップグレード処理を十分に完了できる状態であることを OneFS が確認します。いくつかのアップグレード前チェックが必須です。これらのチェックは、オプションのチェックをスキップしても行われます。アップグレード前チェックはすべて、より安全なアップグレードに貢献するものです。



https://community.emc.com/docs/DOC-44007

リモートサポートOneFS では、ESRS（EMC セキュアリモートサービス）を通じたリモートサポートにより EMC Isilonクラスタを監視し、お客様の許可により、クラスタのデータを収集し問題のトラブルシューティングを行うために Isilon のテクニカルサポート担当者へのリモートアクセスが可能です。ESRSは、セキュアな IP ベースのカスタマーサービスサポートシステムです。ESRS の機能には、24時間 365日のリモートモニタリングと、AES 256 ビット暗号化および RSA デジタル証明書によるセキュアな認証が含まれます。構成した場合、ESRSは、ノードごとに Isilon クラスターを監視し、デバイスの稼働状態に関するアラートを送信します。Isilon のテクニカルサポート担当者は、SSH またWeb管理インターフェイスを通じてリモートセッションを確立できます。リモートセッション中にサポート担当者は、クラスタの設定および動作に関する診断データを収集するスクリプトを実行してそれを安全な FTP サイトに送信し、クラスタ上の未解決のサポートリクエストをトラブルシューティングします。リモートサポートを有効にする場合、クラスタのログイン認証情報を Isilon のテクニカルサポート担当者と共有する必要があります。Isilon のテクニカルサポート担当者は、未解決のサポートリクエストのコンテキストでのみ、クラスタへのリモートアクセスを要求します。お客様はそのリモートセッションリクエストを許可するか拒否することができます。ESRSは OneFS オペレーティングシステムに組み込まれているので、ライセンスを別途アクティブ化する必要はありません。ESRS がデータを収集するスクリプトを実行するには、その前に ESRS を有効にし、構成する必要があります。クラスタが最初にセットアップされたときに機能が有効になっている可能性がありますが、いつでも ESRS を有効化または無効化できます。ESRS の機能の詳細な説明については、「EMC Secure Remote Services TechnicalDescription」ドキュメントの最新バージョンを参照してください。ESRS の関連ドキュメントについては、EMC オンラインサポートサイトを参照してください。

ESRS サポートの構成Isilon クラスターで ESRS（EMC セキュアリモートサービス）のサポートを構成できます。ESRS を構成する前に、少なくとも 1台の ESRS ゲートウェイサーバーがインストールおよび構成されている必要があります。ゲートウェイサーバーは、IP ベースのリモートサポートアクティビティおよびモニタリング通知で、単一の入口および出口のポイントとなります。セカンダリゲートウェイサーバーをフェイルオーバーとして設定することもできます。ESRSは、IPv6 の通信をサポートしていません。ESRS転送とリモート接続をサポートするには、IPv4 アドレス用に EMC Isilon クラスター上に少なくとも 1 つのサブネットを構成する必要があります。ESRS が管理する対象となるすべてのノードには、IPv4 のアドレスプールのメンバーである少なくとも 1 つのネットワークインターフェイスが必要です。サポートの担当者によって、リモートゲートウェイの接続を処理する 1 つ以上の IP アドレスプールを指定する必要があります。IP アドレスプールは、デフォルトのシステムグループネットでありシステムアクセスゾーンによって参照される groupnet0 の下のサブネットに属している必要があります。ESRS を介したリモート接続に使用される専用の固定 IP アドレスを持つプールを指定することをお勧めします。ESRS転送が失敗した場合は、フェイルオーバー SMTP アドレスにイベント通知を送信するようにESRS に指示することができます。また、転送失敗時にメールを送信するかどうかを指定することができます。OneFS の一般クラスター設定に、SMTP アドレスとメールアドレスが指定されています。クラスターで ESRS のサポートを有効にすると、各ノードのシリアル番号と IP アドレスがゲートウェイサーバーに送信されます。ノード情報を受信したら、次の操作を行うことができます。


リモートサポート 107

l ESRS構成ツールを使用して、ESRS を通じて管理するノードを選択する。l ESRS Policy Manager を使用して、Isilon ノードへのリモートサポート接続のルールを作成す

る。ゲートウェイサーバーの要件、インストール、構成の詳細な説明については、「EMC SecureRemote Site Planning Guide」ドキュメントの最新バージョンを参照してください。ESRS構成ツールの詳細な説明については、「EMC Secure Remote Services Installation andOperations Guide」ドキュメントの最新バージョンを参照してください。ESRS Policy Manger の詳細な説明については、「EMC Secure Remote Services PolicyManager Operations Guide」ドキュメントの最新バージョンを参照してください。ESRS の関連ドキュメントについては、EMC オンラインサポートサイトを参照してください。

リモートサポートスクリプトESRS でリモートサポートを有効にすると、Isilon のテクニカルサポート担当者は、EMC Isilon クラスタのデータを収集するスクリプトによるログを要求し、そのデータをアップロードすることができます。Isilon isi_gather_info ログ収集ツールに基づいたリモートサポートスクリプトは、各ノード上の /ifs/data/Isilon_Support/ ディレクトリにあります。

さらに ESRS が有効化されると、クラスタおよびノード固有データに焦点を当てたツールであるisi_phone_home が有効化されます。このツールは、クラスタに関する情報を毎週 Isilon テクニカルサポートに送信するように事前設定されています。isi_phone_homeは OneFS コマンドラインインターフェイスで無効化または有効化できます。以下の表には、リモートサポートスクリプトで実行されるデータ収集アクティビティがリストされています。Isilon のテクニカルサポート担当者がリクエストするときに、これらのスクリプトは自動的に実行され、クラスタの構成設定および動作に関する情報が収集されます。ESRSは、情報を Isilon のテクニカルサポート担当者が分析できるように Isilon の安全な FTP サイトにアップロードします。リモートサポートスクリプトがクラスタサービスやデータの可用性に影響することはありません。

アクション説明

Clean watch folder /var/crash のコンテンツをクリアします。

Get application data OneFS アプリケーションプログラムに関する情報を収集してアップロードします。

Generate dashboard file daily ダッシュボード情報を毎日生成します。

Generate dashboard file sequence ダッシュボード情報が発生した順番で情報を生成します。

Get ABR data ハードウェアに関する完成時の情報を収集します。

Get ATA control and GMirror status あらかじめ定義された eventid に応答するイベントを受け取ったときに、システム出力を収集し、スクリプトを呼び出します。

Get cluster data クラスター全体の構成と動作に関する情報を収集してアップロードします。

Get cluster events 既存の重要なイベントの出力を取得し、その情報をアップロードします。

Get cluster status クラスターのステータスの詳細を収集してアップロードします。




Get contact info 連絡先情報を抽出し、その情報を格納したテキストファイルをアップロードします。

Get contents（var/crash） /var/crash のコンテンツをアップロードします。

Get job status 監視しているジョブの詳細を収集してアップロードします。

Get domain data クラスターの ADS（Active Directory サービス）ドメインメンバーシップに関する情報を収集してアップロードします。

Get file system data OneFS /ifs/ ファイルシステムの状態および稼働状態に関する情報を収集してアップロードします。

Get IB data InfiniBandバックエンドネットワークの構成と動作に関する情報を収集してアップロードします。

Get logs data 最新のクラスターログ情報のみを収集してアップロードします。

Get messages アクティブな /var/log/messages ファイルを収集してアップロードします。

Get network data クラスター全体およびノード固有のネットワーク構成設定と動作に関する情報を収集してアップロードします。

Get NFS clients コマンドを実行して、ノードが NFS クライアントとして使用されているかどうかをチェックします。

Get node data ノード固有の構成、ステータス、動作に関する情報を収集してアップロードします。

Get protocol data NFS、SMB、HDFS、FTP、HTTP プロトコルのネットワークステータス情報と構成設定を収集してアップロードします。

Get Pcap client stats クライアント統計を収集してアップロードします。

Get readonly status シャーシが開いている場合に警告し、イベント情報のテキストファイルをアップロードします。

Get usage data ノードのパフォーマンスおよびリソース使用量に関する現在と履歴の情報を収集してアップロードします。

isi_gather_info 最近のすべてのクラスタログ情報を収集してアップロードします。

isi_gather_info--incremental 直近のフルオペレーション以後に発生したクラスタログ情報への変更を収集してアップロードします。

isi_gather_info --incrementalsinglenode

直近のフルオペレーション以後に発生したクラスタログ情報への変更を収集してアップロードします。


リモートサポートスクリプト 109


ノード番号を要求するプロンプトが表示されます。

isi_gather_infosingle node 単一ノードの詳細を収集してアップロードします。ノード番号を要求するプロンプトが表示されます。

isi_phone_home--script-file 最近のすべてのクラスタおよびノード固有情報を収集してアップロードします。

Upload the dashboard file ダッシュボード情報を Isilon のテクニカルサポートの安全な FTP サイトにアップロードします。

ESRS サポートの有効化と構成Isilon クラスタで ESRS（EMC セキュアリモートサービス）のサポートを有効化できます。

はじめにIsilon クラスタで ESRS を有効化する前に、ESRS Gateway サーバをインストールおよび構成する必要があります。ゲートウェイの接続を処理する IP アドレスプールは、システムにすでに存在している必要があり、デフォルトのシステムグループネットである groupnet0 の下のサブネットに属している必要があります。IsilonSD Edge を実行している場合は、次の手順を無視してください。

手順l isi remotesupport connectemc modify コマンドを実行して ESRS を有効化お

よび構成します。次のコマンドでは、ESRS を有効化し、IPv4 アドレスをプライマリゲートウェイとして指定し、ESRS が転送に失敗した場合に SMTP を使用するよう OneFS に指示し、ゲートウェイ接続を処理する 2個の IP アドレスプールを指定します。

isi remotesupport connectemc modify --enabled=yes \ --primary-esrs-gateway=192.0.2.1 --use-smtp-failover=yes \ --gateway-access-pools=subnet0.pool2,subnet3.pool1

次のコマンドを実行すると、ESRS が有効になり、gw-serv-esrs1 がプライマリ Gateway サーバとして指定され、IP アドレスプールがゲートウェイ接続を処理するプールのリストに追加されます。

isi remotesupport connectemc modify --enabled=yes \ --primary-esrs-gateway=gw-serv-esrs1 --add-gateway-access-pools=subnet0.pool3

ESRS サポートの無効化Isilon クラスターで ESRS（EMC セキュアリモートサービス）のサポートを無効化できます。

IsilonSD Edge を実行している場合は、次の手順を無視してください。



手順l 次のコマンドを実行して、Isilon クラスターで ESRS を無効化します。

isi remotesupport connectemc modify --enabled=no

ESRS構成設定の表示EMC Isilon クラスターで指定した ESRS（EMC セキュアリモートサービス）設定を表示できます。

IsilonSD Edge を実行している場合は、次の手順を無視してください。手順l isi remotesupport connectemc view コマンドを実行します。


Enabled: yes Primary Esrs Gateway: 198.51.100.12 Secondary Esrs Gateway: 198.51.100.14 Use SMTP Failover: yesEmail Customer On Failure: no Gateway Access Pools: subnet0.pool2, subnet3.pool1

クラスター管理コマンドクラスター管理コマンドを使用すると、Isilon クラスターを構成、監視、管理できます。IsilonSD Edge を実行している場合、セキュリティの強化、リモートサポート、クラスターファームウェアのアップグレード、実行中のアップグレードプロセスへの新規または残りのノードの追加に特有のコマンドは適用されません。

isi diagnostics gather settings modify

クラスタログ情報の収集およびアップロード設定を変更します。

構文

isi diagnostics gather settings modify [--upload {enable | disable}] [--esrs {enable | disable}] [--gather-mode {incremental | full}] [--http-upload {enable | disable}] [--http-upload-host ［<host>］] [--http-upload-path ［<path>］] [--http-upload-proxy ［<host>］] [--http-upload-proxy-port ［<port>］] [--ftp-upload {enable | disable}] [--ftp-upload-host ［<host>］] [--ftp-upload-path ［<path>］] [--ftp-upload-proxy ［<host>］] [--ftp-upload-proxy-port ［<port>］] [--ftp-upload-user ［<username>］] [--ftp-upload-pass ［<password>］] [--set-ftp-upload-pass] [--verbose]


ESRS構成設定の表示 111

オプション--upload {enable | disable}

収集されたログのアップロードが可能になります。

--esrs {enable | disable}

ログをアップロードする際の EMC セキュアリモートサービス（ESRS）を指定します。

--gather-mode {incremental | full}

ログの差分収集と完全収集のどちらを開始するかを指定します。

--http-upload {enable | disable}

ログをアップロードするための HTTP を指定します。

--http-upload-host［<host>］アップロードするための HTTP サイトを指定します。

--http-upload-path［<path>］HTTP アップロードディレクトリを指定します。

--http-upload-proxy［<host>］HTTP プロキシサーバを指定します。

--http-upload-proxy-port［<port>］HTTP プロキシサーバポートを指定します。

--ftp-upload {enable | disable}

ログをアップロードするための FTP を指定します。

--ftp-upload-host［<host>］アップロードするための FTP サイトを指定します。

--ftp-upload-path［<path>］FTP アップロードディレクトリを指定します。

--ftp-upload-proxy［<host>］FTP プロキシサーバを指定します。

--ftp-upload-proxy-port［<port>］FTP プロキシサーバポートを指定します。

--ftp-upload-user［<username>］FTP サイトのユーザー名を指定します。デフォルトのユーザーは anonymous です。

--ftp-upload-pass［<password>］FTP サイトのパスワードを指定します。

--set-ftp-upload-pass［<password>］FTP サイトのパスワードを設定します。

{--verbose | -v}

詳細を表示します。



isi diagnostics gather settings view

ログ収集の設定を表示します。

構文

isi diagnostics gather settings view

オプションこのコマンドにはオプションはありません。

isi diagnostics gather start

最新のクラスタのログ情報を収集してアップロードするプロセスを開始します。収集されたクラスタのログは /ifs/data/Isilon_Support/pkg の下に保存されます。

構文

isi diagnostics gather start[--upload {enable | disable}][--esrs {enable | disable}][--gather-mode {incremental | full}][--http-upload {enable | disable}][--http-upload-host ［<host>］][--http-upload-path ［<path>］][--http-upload-proxy ［<host>］][--http-upload-proxy-port ［<port>］][--ftp-upload {enable | disable}][--ftp-upload-host ［<host>］][--ftp-upload-path ［<path>］][--ftp-upload-proxy ［<host>］][--ftp-upload-proxy-port ［<port>］][--ftp-upload-user ［<username>］][--ftp-upload-pass ［<password>］][--set-ftp-upload-pass]

オプション--upload {enable | disable}

収集されたログのアップロードが可能になります。

--esrs {enable | disable}

ログをアップロードする際の EMC セキュアリモートサービス（ESRS）を指定します。

--gather-mode {incremental | full}

ログの差分収集と完全収集のどちらを開始するかを指定します。

--http-upload {enable | disable}

ログをアップロードするための HTTP を指定します。

--http-upload-host［<host>］アップロードするための HTTP サイトを指定します。

--http-upload-path［<path>］


isi diagnostics gather settings view 113

HTTP アップロードディレクトリを指定します。

--http-upload-proxy［<host>］HTTP プロキシサーバを指定します。

--http-upload-proxy-port［<port>］HTTP プロキシサーバポートを指定します。

--ftp-upload {enable | disable}

ログをアップロードするための FTP を指定します。

--ftp-upload-host［<host>］アップロードするための FTP サイトを指定します。

--ftp-upload-path［<path>］FTP アップロードディレクトリを指定します。

--ftp-upload-proxy［<host>］FTP プロキシサーバを指定します。

--ftp-upload-proxy-port［<port>］FTP プロキシサーバポートを指定します。

--ftp-upload-user［<username>］FTP サイトのユーザー名を指定します。デフォルトのユーザーは anonymous です。

--ftp-upload-pass［<password>］FTP サイトのパスワードを指定します。

--set-ftp-upload-pass［<password>］FTP サイトのパスワードを設定します。

isi diagnostics gather status

ログ収集操作の現在のステータスを表示します。

構文

isi diagnostics gather status


isi diagnostics gather stop

アクティブログの収集操作を停止します。

構文

isi diagnostics gather stop




isi diagnostics netlogger settings modify

IP トラフィック情報の収集設定を変更します。

構文

isi diagnostics netlogger settings modify[--interfaces ［<interface>］][--count ［<integer>］][--duration ［<duration>］][--snaplength ［<bytes>］][--nodelist ［<LNN>］][--clients ［<IP>］][--ports ［<string>］][--protocols {ip | ip6 | arp | tcp | udp}][--verbose]

オプション--interfaces［<interface>］

トラフィックを収集するネットワークインターフェイスを指定します。

--count［<integer>］収集の終了後に保持するキャプチャファイル数を指定します。デフォルト値は 3 ファイルです。

--duration［<duration>］キャプチャファイルごとに IP トラフィックを収集する期間を、<integer>{Y|M|W|D|H|m|s} の形式で指定します。

--snaplength［<bytes>］キャプチャのスナップの長さ。デフォルトは 320バイトです。この値の有効な範囲は 64～9100です。

--nodelist［<nodes>］統計情報をレポートするノードを指定します。LNN（論理ノード番号）でノードを指定します。複数の値をコンマ区切りリストで指定できます（例：--nodes 1,2）。デフォルト値は［all］です。

--clients［<clients>］統計情報をレポートするクライアント IP を指定します。複数の IP アドレスはコンマで区切って指定できます。デフォルト値は all です。

--ports［<port>］統計情報をレポートする TCP ポートまたは UDP ポートを指定します。複数のポートはコンマで区切って指定できます。デフォルト値は all です。

--protocols {ip | ip6 | arp | tcp | udp}

統計情報をレポートするプロトコルを指定します。

{--verbose | -v}



isi diagnostics netlogger settings modify 115

isi diagnostics netlogger settings view

IP トラフィックのログの収集の設定を表示します。

構文

isi diagnostics netlogger settings view


isi diagnostics netlogger start

最新の IP トラフィックのログ情報を収集してアップロードするプロセスを開始します。

収集されたクラスタのログは /ifs/data/Isilon_Support/pkg の下に保存されます。

構文

isi diagnostics netlogger start[--interfaces ［<interface>］][--count ［<integer>］][--duration ［<duration>］][--snaplength ［<bytes>］][--nodelist ［<LNN>］][--clients ［<IP>］][--ports ［<string>］][--protocols {ip | ip6 | arp | tcp | udp}]

オプション--interfaces［<interface>］

トラフィックを収集するネットワークインターフェイスを指定します。

--count［<integer>］収集の終了後に保持するキャプチャファイル数を指定します。デフォルト値は 3 ファイルです。

--duration［<duration>］キャプチャファイルごとに IP トラフィックを収集する期間を、<integer>{Y|M|W|D|H|m|s} の形式で指定します。

--snaplength［<bytes>］キャプチャのスナップの長さ。デフォルトは 320バイトです。この値の有効な範囲は 64～9100です。

--nodelist［<nodes>］統計情報をレポートするノードを指定します。LNN（論理ノード番号）でノードを指定します。複数の値をコンマ区切りリストで指定できます（例：--nodes 1,2）。デフォルト値は［all］です。

--clients［<clients>］



統計情報をレポートするクライアント IP を指定します。複数の IP アドレスはコンマで区切って指定できます。デフォルト値は all です。

--ports［<port>］統計情報をレポートする TCP ポートまたは UDP ポートを指定します。複数のポートはコンマで区切って指定できます。デフォルト値は all です。

--protocols {ip | ip6 | arp | tcp | udp}

統計情報をレポートするプロトコルを指定します。

isi diagnostics netlogger status

IP トラフィックの収集操作の現在のステータスを表示します。

構文

isi diagnostics netlogger status


isi diagnostics netlogger stop

アクティブな IP トラフィック収集の操作を停止します。

構文

isi diagnostics netlogger stop


isi config

ノードとクラスターの設定を変更できる新しいプロンプトを開きます。コマンドラインプロンプトが変わり、isi config サブシステムに切り替わったことが示されます。isi config サブシステムでは、他の OneFS コマンドは使用できません。isi config コマンドのみが有効です。

構文

isi config

l 次のコマンドは、現在のコマンドプロンプトが isi config でない場合、認識されません。l commit コマンドを実行するまで、変更は適用されません。l 一部のコマンドでは、クラスターを再起動する必要があります。


isi diagnostics netlogger status 117

コマンドchanges

コミットされていない構成の変更のリストが表示されます。commit

構成設定をコミットして isi config を終了します。

date［<time-and-date>］クラスターの現在の日時を表示または設定します。［<time-and-date>］

クラスターの時刻を指定した時刻に設定します。［<time-and-date>］を次の形式で指定します。

［<YYYY>］-［<MM>］-［<DD>］[T［<hh>］:［<mm>］[:［<ss>］]]

［<time>］を次の値の 1 つで指定します。［Y］

年を指定します。

［M］月を指定します。

［W］週を指定します。

［D］日を指定します。

［h］時間を指定します。

［s］秒を指定します。

deliprange [［<interface-name>］ [［<ip-range>］]]ノードに割り当てることができる内部ネットワーク IP アドレスのリストを表示します。または、指定されたアドレスをリストから削除します。［<interface-name>］

インターフェイスの名前を次のいずれかの値で指定します。

［int-a］［int-b］［failover］

［<ip-range>］ノードに割り当てることのない IP アドレスの範囲を指定します。［<lowest-ip>］-［<highest-ip>］形式で指定します。



encoding [list] [［<encoding>］]クラスターのデフォルトのエンコード文字を設定します。

文字エンコードは、通常、クラスターのインストールの間に設定されます。文字エンコードの設定を誤って変更すると、ファイルが読み取り不能になる場合があります。設定の変更は、必要な場合にのみ、Isilon テクニカルサポートに相談してから行ってください。

［list］サポートされる文字セットのリストを表示します。

exitisi config サブシステムを終了します。

helpすべての isi config コマンドのリストを表示します。特定のコマンドに関する情報について、構文は help [<command>]です。

interface ［<interface-name>］ {enable | disable}

インターフェイスコマンドは IP範囲、ネットマスク、MTU を表示し、内部インターフェイスを有効または無効にします。このコマンドを引数なしで発行すると、すべてのインターフェイスの IP範囲、ネットマスク、MTU が表示されます。このコマンドを［<interface-name>］引数を付けて発行すると、指定したインターフェイスのみの IP範囲、ネットマスク、MTU が表示されます。{［enable］ | ［disable］}

指定されたインターフェイスを有効または無効にします。

［<interface-name>］インターフェイスの名前を［int-a］または［int-b］として指定します。

iprange [<interface-name> <lowest-ip>-<highest-ip>]

ノードに割り当て可能な内部 IP アドレスのリストを表示するか、アドレスをリストに追加します。［<interface-name>］

インターフェイスの名前を［int-a］、［int-b］、または［failover］として指定します。

［<lowest-ip>-<highest-ip>］ノードに割り当てることができる IP アドレスの範囲を指定します。

ipset廃止。 lnnset を使用してクラスターノードの番号を付け直します。 IP アドレスは手動では設定できません。

joinmode [<mode>]

ノードが現在のクラスターに追加される方法の設定を表示します。オプション［<mode>］は、クラスター追加ノードの設定を次のいずれかの値で指定します。manual

ノードまたはクラスターのどちらでも参加を開始できるように、クラスターを構成します。


isi config 119

secureクラスターだけが参加を開始できるように、クラスターを構成します。

lnnset [［<old-lnn>］［<new-lnn>］]引数を指定しないで実行すると、クラスター内の各ノードの論理ノード番号（LNN）、デバイスID、内部 IP アドレスの表が表示されます。引数を指定すると、LNN が変更されます。［<old lnn>］

変更する古い LNN を指定します。

［<new lnn>］そのノードの古い LNN値を置き換える新しい LNN を指定します。

新しい LNN には、別のノードに現在割り当てられていない値を指定する必要があります。 LNN が変更されたノードのシェルまたはWeb管理インターフェイスにログインしているユーザーは、新しい LNN を表示するには、ログインし直す必要があります。

migrate [［<interface-name>］ [[［<old-ip-range>］] {<［new-ip-range］> [-n［<netmask>］]}]]

ノードに割り当てることができる IP アドレス範囲のリストを表示します。または、そのリストの IP範囲を追加および削除します。［<interface-name>］

インターフェイスの名前を［int-a］、［int-b］、および［failover］として指定します。

［<old-ip-range>］ノードに割り当てることのない IP アドレスの範囲を指定します。指定しないと、既存の IP範囲がすべて削除された後で、新しい IP範囲が追加されます。［<lowest-ip>］-［<highest-ip>］形式で指定します。

［<new-ip-range>］ノードに割り当てることができる IP アドレスの範囲を指定します。［<lowest-ip>］-［<highest-ip>］形式で指定します。

［-n］［<netmask>］インターフェイスの新しいネットマスクを指定します。

複数のノードに新しい IP アドレスを設定した場合、変更をコミットするとクラスターが再起動します。 1 つのノードだけに新しい IP アドレスを設定すると、そのノードだけが再起動されます。

mtu [［<value>］]引数を指定しないで実行すると、クラスターが内部ネットワーク通信に使用するMTU（最大転送単位）のサイズが表示されます。引数を指定すると、MTU値の新しいサイズが設定されます。このコマンドは、内部ネットワーク専用です。



このコマンドは、InfiniBandバックエンドを使用しているクラスターに対しては無効です。

［<value>］MTU値の新しいサイズを指定します。どのような値でも有効ですが、値によってはネットワークと互換性がない可能性があります。最も一般的な設定は、標準フレームに対しては 1500、ジャンボフレームに対しては 9000 です。

name [［<new_name>］]引数を指定しないで実行すると、クラスターに現在割り当てられている名前が表示されます。引数を指定すると、クラスターに新しい名前が割り当てられます。［<new name>］

クラスターの新しい名前を指定します。

netmask [［<interface-name>］ [［<ip-mask>］]]クラスターが現在使用しているサブネット IP マスクが表示されます。または、指定した新しいサブネット IP マスクを設定します。インターフェイス名を int-a および int-b として指定します。［<interface-name>］

インターフェイスの名前を指定します。有効な名前は、［int-a］および［int-b］です。

［<ip-mask>］インターフェイスの新しい IP マスクを指定します。

quitisi config サブシステムを終了します。

reboot [{［<node_lnn>］ | all}]

LNN で指定された 1 つまたは複数のノードを再起動します。ノードが指定されていない場合、コマンドが実行されたノードが再起動されます。クラスターを再起動するには、all を指定します。

未構成のノードで実行された場合、このコマンドはいずれの引数も受け取りません。

remove廃止。代わりに isi devices -a smartfail コマンドを実行します。

shutdown [{［<node_lnn>］ | all}]

LNN で指定された 1 つまたは複数のノードをシャットダウンします。ノードが指定されていない場合、コマンドが実行されたノードがシャットダウンされます。クラスターをシャットダウンするには、all を指定します。

未構成のノードで実行された場合、このコマンドはいずれの引数も受け取りません。


isi config 121

status [advanced]

クラスターのステータスについての最新情報が表示されます。デバイスの稼働状態などの追加情報を表示するには、advanced を指定します。

timezone [<timezone identifier>]

現在のタイムゾーンを表示します。または、新しいタイムゾーンを指定します。クラスターの新しいタイムゾーンを次の値の 1 つから指定します。［<timezone identifier>］

クラスターの新しいタイムゾーンを次の値の 1 つから指定します。

［Greenwich Mean Time］［Eastern Time Zone］［Central Time Zone］［Mountain Time Zone］［Pacific Time Zone］［Arizona］［Alaska］［Hawaii］［Japan］［Advanced］：他のタイムゾーンオプションのプロンプトを開きます。

versionOneFS の現在のバージョンに関する情報が表示されます。

wizard未構成のノードでウィザードがアクティブ化されます。初期ノード構成プロセスの間にウィザードを終了した場合は、ウィザードが再アクティブ化されます。ウィザードでは、ノード構成ステップが示されます。

isi email settings modify

クラスターのメール設定を変更します。

構文

isi email settings modify[--mail-relay ［<string>］][--smtp-port ［<integer>］][--mail-sender ［<string>］][--mail-subject ［<string>］][--use-smtp-auth {yes | no}][--smtp-auth-username ［<string>］][--use-encryption {yes | no}][--batch-mode {all | severity | category | none}][--user-template ［<string>］][--clear-user-template][--smtp-auth-passwd ［<string>］]



[--clear-smtp-auth-passwd] [--set-smtp-auth-passwd] [--verbose]

オプション--mail-relay［<string>］

SMTP リレーアドレスを設定します。

--smtp-port［<integer>］SMTP ポートを設定します。デフォルトは 25 です。

--mail-sender［<string>］送信元のメールアドレスを設定します。

mail-subject［<string>］メールの件名の前に付ける文字列を設定します。

--use-smtp-auth {yes | no}

SMTP認証を使用します。

{--smtp-auth-username | -u} ［<string>］SMTP ユーザー名を設定します。

--use-encryption {yes | no}

SMTP認証に暗号化（TLS）を使用します。

--batch-mode {all | severity | category | none}

通知をバッチ処理してメールで送信する方法を設定します。

--user-template［<string>］カスタムメールテンプレートにアクセスするパスを指定します。

--clear-user-templateカスタムメールテンプレートにアクセスするために指定したパスをクリアします。

{--smtp-auth-passwd | -p} ［<string>］SMTP認証パスワードを設定します。

--clear-smtp-auth-passwd指定した SMTP認証パスワードをクリアします。

--set-smtp-auth-passwd--smtp-auth-passwd を対話形式で指定します。

{--verbose | -v}



クラスターのメール設定を表示します。


isi email settings view 123

構文


例現在構成されているメール設定を表示するには、次のコマンドを実行します。



Mail Relay: - SMTP Port: 25 Mail Sender: - Mail Subject: - Use SMTP Auth: No SMTP Auth Username: - Use Encryption: No Batch Mode: none User Template: - SMTP Auth Password Set: False

isi hardening apply

セキュリティ強化を EMC Isilon クラスターに適用します。

構文

isi hardening apply ［<profile>］[--report {yes | no}][--verbose]

オプション［<profile>］

Isilon クラスターに適用される強化プロファイルを指定します。現在、OneFS ではクラスターのセキュリティ強化に対して DISA（米国国防情報システム局）STIG（Security TechnologyImplementation Guide）プロファイルのみサポートされます。

--report {yes | no}

Isilon クラスターの状態をチェックし、実際に強化プロファイルを適用せずに結果をレポートするかどうかを指定します。システムにより見つかった問題が表示され、これを強化エンジンで解決するか、延期して手動で修正できます。

{--verbose | -v}


isi hardening revert

EMC Isilon クラスターに適用したすべてのセキュリティ強化を復元します。



構文

isi hardening revert[--verbose][--force]

オプション{--verbose | -v}


{--force | -f}

コマンドラインプロンプトとメッセージを抑制して強化を復元します。

isi hardening status

EMC Isilon クラスターと各クラスターノードのセキュリティ強化のステータスを表示し、クラスターに適用されている強化プロファイルを示します。

構文

isi hardening status


isi license licenses activate

ライセンスキーを入力して、新しいライセンス可能な製品をアクティブ化します。

構文

isi license licenses activate ［<key>］[--verbose]

オプション［<key>］

ライセンスキー。

{--verbose | -v}


isi license licenses list

ライセンス可能なすべての製品のライセンス情報を取得します。

構文

isi license licenses list[--limit ［<integer>］][--sort {name | status | expiration}][--descending]


isi hardening status 125

[--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプション{--limit | -l} ［<integer>］

表示するライセンスの数。

--sort {name | status | expiration}

指定したフィールドでデータをソートします。

{--descending | -d}

データを降順にソートします。

--format {table | json | csv | list}

表、JSON、CSV、リスト形式でライセンスを表示します。

{--no-header | -a}

ヘッダーは表または CSV形式で表示されません。

{--no-footer | -z}

表サマリーのフッター情報を表示しません。

{--verbose | -v}


isi license licenses view

ライセンス可能な製品のライセンス情報を取得します。

構文

isi license licenses view ［<name>］

オプション［<name>］

ライセンスを表示する製品名。

例SmartQuotas のライセンス情報を表示するには、次のコマンドを実行します。

isi email settings view SmartQuotas


Name: SmartQuotas Status: Evaluation Expiration: 2016-10-04T14:08:26



isi remotesupport connectemc modify

Isilon ノードで ESRS（EMC セキュアリモートサービス）のサポートを有効または無効にします。

構文

isi remotesupport connectemc modify [--enabled {yes|no}] [--primary-esrs-gateway ［<string>］] [--secondary-esrs-gateway ［<string>］] [--use-smtp-failover {yes|no}] [--email-customer-on-failure {yes|no}] [--gateway-access-pools ［<string>］]... [--clear-gateway-access-pools] [--add-gateway-access-pools ［<string>］]... [--remove-gateway-access-pools ［<string>］]...

オプション--enabled {yes|no}

ESRS のサポートが Isilon クラスターで有効になっているかどうかを指定します。

--primary-esrs-gateway［<string>］プライマリ ESRS Gateway サーバを指定します。Gateway サーバは、IP ベースのリモートサポートアクティビティおよびモニタリング通知で、単一の入口および出口のポイントとなります。ゲートウェイは、IPv4 アドレスまたはゲートウェイ名のいずれかで指定できます。

--secondary-esrs-gateway［<string>］フェイルオーバーサーバとして機能するオプションのセカンダリ ESRS Gateway サーバを指定します。ゲートウェイは、IPv4 アドレスまたはゲートウェイ名のいずれかで指定できます。

--use-smtp-failover {yes|no}

ESRS転送に失敗したときにイベント通知をフェイルオーバー SMTP アドレスに送信するかどうかを指定します。SMTP メールアドレスは isi email settings modify コマンドを使用して指定されます。

--email-customer-on-failure {yes|no}

他の通知方法が失敗したときにカスタマーのメールアドレスにアラートを送信するかどうかを指定します。カスタマーのメールアドレスは isi_promptesrs -e コマンドを使用して指定されます。

--gateway-access-pools［<string>］...

ESRS Gateway経由でリモートサポート接続を処理する Isilon クラスター上の IP アドレスプールを指定します。IP アドレスプールは、デフォルトのシステムグループネットである groupnet0 の下のサブネットに属している必要があります。

ESRS を介したリモート接続専用の固定 IP アドレスを持つプールを指定することをお勧めします。

--clear-gateway-access-pools


isi remotesupport connectemc modify 127

リモートサポート接続を処理する IP アドレスプールのリストを削除します。

--add-gateway-access-pools［<string>］...

ESRS Gateway経由でリモートサポート接続を処理するプールのリストに 1 つ以上の IP アドレスプールを追加します。

--remove-gateway-access-pools［<string>］...

ESRS Gateway経由でリモートサポート接続を処理するプールのリストから 1 つ以上の IP アドレスプールを削除します。

例次のコマンドは、ESRS を有効化し、IPv4 アドレスをプライマリゲートウェイとして指定し、すべての転送方法に失敗した場合にお客様にメールを送信するよう OneFS に指示し、ゲートウェイ接続を処理するプールのリストから IP アドレスプールを削除します。

isi remotesupport connectemc modify --enabled=yes \ --primary-esrs-gateway=192.0.2.1 --email-customer-on-failure=yes \ --remove-gateway-access-pools=subnet3.pool1

isi remotesupport connectemc view

Isilon ノード上の ESRS（EMC セキュアリモートサービス）設定を表示します。

構文

isi remotesupport connectemc view


isi services

使用可能なサービスのリストを表示します。［-l］および［-a］オプションは、個別に使用することも、同時に使用することもできます。

構文

isi services [-l | -a] [［<service>］ [{enable | disable}]]

オプション-l

使用可能なすべてのサービスと、ぞれぞれの現在のステータスを一覧表示します。これがこのコマンドのデフォルト値です。

- a非表示サービスを含むすべてのサービスと、ぞれぞれの現在のステータスを一覧表示します。

［<service>］ {enable | disable}



指定されたサービスを有効または無効にします。

例次の例では、指定された非表示サービスを有効にするためのコマンドを示します。

isi services -a <hidden-service> enable

isi set

chmod と同様に機能し、リクエストされた保護などの OneFS固有のファイル属性を調整するか明示的にファイルを再ストライプするかするメカニズムを提供します。ファイルはパスまたは LIN で指定できます。

構文

isi set [-f -F -L -n -v -r -R] [-p ［<policy>］] [-w ［<width>］] [-c {on | off}] [-g ［<restripe_goal>］] [-e ［<encoding>］] [-d ［<@r drives>］] [-a {［<default>］ | ［<streaming>］ | ［<random>］ | ［<custom{1..5}>］ | ［<disabled>］}] [-l {［<concurrency>］ | ［<streaming>］ | ［<random>］}] [--diskpool {［<id>］ | ［<name>］}] [-A {on | off}] [-P {on | off}] [{--strategy | -s} {［<avoid>］ | ［<metadata>］ | ［<metadata-write>］ | ［<data>］] [［<file>］ {［<path>］ | ［<lin>］}]

オプション-f

ファイル変更失敗についての警告を表示しないようにします。

-F/ifs/.ifsvar ディレクトリコンテンツとそのすべてのサブディレクトリを含みます。 -F がないと、/ifs/.ifsvar ディレクトリコンテンツとそのすべてのサブディレクトリはスキップされます。この設定を使用すると、潜在的に危険でサポートされない保護ポリシーを指定できます。

-Lパスではなく LIN を使用して file引数を指定します。

-n何も処理を行わずに、変更されるファイルのリストを表示します。

-v到達した各ファイルを表示します。


isi set 129

-r再ストライピングを実行します。

-Rファイルに対して再帰的に保護を設定します。

-p［<policy>］以下の形式で保護ポリシーを指定します。［+M］

ここで、［M］はデータの消失が発生しない容認可能なノード障害の件数です。［+M］は数値である必要があり、1～4 が有効です。

［+D:M］ここで、［D］はドライブ障害の件数を示し、［M］はデータの消失が発生しない容認可能なノード障害の件数です。［D］は 1～4 の数値である必要があり、［M］は［D］を均等に分割する値である必要があります。たとえば、+2:2や+4:2は有効ですが、+1:2や+3:2は無効です。

［Nx］ここで、［N］は、格納されるデータの独立しているミラーコピーの個数です。［N］は数値である必要があり、1～8 が有効な選択肢です。

-w［<width>］ファイルをストライピングするノードの数を指定します。通常、w = N + M ですが、幅は使用されるノードの合計数を意味することもあります。最大の幅ポリシーの 32 を設定できますが、実際の保護は［N］と［M］の制限に依存します。

-c {on | off}

書き込み結合を有効にするかどうかを指定します。

-g［<restripe goal>］再ストライピングの目標を指定します。次の値が有効です。［repair］［reprotect］［rebalance］［retune］

-e［<encoding>］ファイル名のエンコードを指定します。次の値が有効です。［EUC-JP］［EUC-JP-MS］［EUC-KR］［ISO-8859-1］



［ISO-8859-10］［ISO-8859-13］［ISO-8859-14］［ISO-8859-15］［ISO-8859-160］［ISO-8859-2］［ISO-8859-3］［ISO-8859-4］［ISO-8859-5］［ISO-8859-6］［ISO-8859-7］［ISO-8859-8］［ISO-8859-9］［UTF-8］［UTF-8-MAC］［Windows-1252］［Windows-949］［Windows-SJIS］

-d［<@r drives>］ファイルに使用するドライブの最小数を指定します。

-a［<value>］ファイルアクセスパターンの最適化設定を指定します。次の値が有効です。［default］［streaming］［random］［custom1］［custom2］［custom3］［custom4］［custom5］［disabled］

-l［<value>］ファイルレイアウトの最適化設定を指定します。これは、-a と-d の両方のフラグを設定するのと同等です。［concurrency］


isi set 131

［streaming］［random］

--diskpool <id | name>

ファイルに対する優先ディスクプールを設定します。

-A {on | off}

ファイルアクセスおよび保護の設定を手動で管理するかどうかを指定します。

-P {on | off}

ファイルが該当するファイルプールポリシーから値を継承するかどうかを指定します。

{--strategy | -s} ［<value>］ファイルの SSD戦略を設定します。次の値が有効です。値が metadata-write の場合は、可能な場合はファイルのメタデータのすべてのコピーが SSDに設定され、ユーザーデータは SSD に設定されません。値が data の場合は、可能な場合はファイルのメタデータとユーザーデータ（ミラー保護を使用している場合は 1 コピー、FEC の場合はすべてのブロック）が SSD ストレージに設定されます。［avoid］

すべての関連するファイルデータおよびメタデータを HDD のみに書き込みます。そうすると領域不足状態になる場合を除き、ファイルのデータとメタデータは SSD ストレージを避けて保存されます。

［metadata］ファイルデータとメタデータの両方を HDD に書き込みます。可能な場合はファイルのメタデータの 1 ミラーが SSD ストレージに保存されますが、データは SSD ストレージに保存されません。

［metadata-write］可能な場合は、ファイルデータを HDD に書き込み、メタデータを SSD に書き込みます。可能な場合はファイルのメタデータのすべてのコピーが SSD ストレージに保存され、データは SSD ストレージに保存されません。

［data］データとメタデータの両方に、SSD ノードプールを使用します。可能な場合は、ファイルのメタデータとユーザーデータ（ミラー保護を使用している場合は 1 コピー、FEC の場合はすべてのブロック）が SSD ストレージに保存されます。

［<file>］ {［<path>］ |［<lin>］}パスまたは LIN でファイルを指定します。

isi snmp settings modify

クラスターの SNMP設定を変更します。



構文

isi snmp settings modify [--service {yes | no}]

[--system-location ［<string>］][--revert-system-location][--system-contact ［<string>］][--revert-system-contact][--snmp-v1-v2c-access {yes | no}][--revert-snmp-v1-v2c-access][--read-only-community ［<string>］][--revert-read-only-community][--snmp-v3-access {yes | no}][--revert-snmp-v3-access][--snmp-v3-read-only-user ［<string>］][--revert-snmp-v3-read-only-user][--snmp-v3-password ［<string>］][--revert-snmp-v3-password][--set-snmp-v3-password][--verbose]

オプション--service {yes | no}

SNMP サービスを有効または無効にします。

--system-location［<string>］SNMP システムの場所。

--revert-system-location--system-location をシステムデフォルトに設定します。

--system-contact［<string>］システムの所有者の有効なメールアドレス。

--revert-system-contact--system-contact をシステムデフォルトに設定します。

--snmp-v1-v2c-access {yes | no}

SNMP v1 および v2c プロトコルを有効または無効にします。

--revert-snmp-v1-v2c-access--snmp-v1-v2c-access をシステムデフォルトに設定します。

{--read-only-community | -c} ［<string>］読み取り専用コミュニティの名前。

--revert-read-only-community--read-only-community をシステムデフォルトに設定します。

--snmp-v3-access {yes | no}

SNMP v3 を有効または無効にします。

--revert-snmp-v3-access--snmp-v3-access をシステムデフォルトに設定します。

{--snmp-v3-read-only-user | -u} ［<string>］


isi snmp settings modify 133

SNMP v3読み取り要求の読み取り専用ユーザー。

--revert-snmp-v3-read-only-user--snmp-v3-read-only-user をシステムデフォルトに設定します。

{--snmp-v3-password | -p} ［<string>］SNMP v3パスワードを変更します。

--revert-snmp-v3-password--snmp-v3-password をシステムデフォルトに設定します。

--set-snmp-v3-password--snmp-v3-password を対話形式で指定します。


クラスターの SNMP設定を表示します。

構文


例現在構成されている SNMP設定を表示するには、次のコマンドを実行します。



System Location: unsetSystem Contact: [email protected]

Snmp V1 V2C Access: YesRead Only Community: I$ilonpublic

Snmp V3 Access: NoSnmp V3 Read Only User: general

SNMP Service Enabled: No

isi statistics client

サポートされている各プロトコルについて、スループットを基準にしてクラスターに最もアクティブにアクセスしているクライアントを表示します。ユーザーごとにアクセスを追跡するためのオプションを指定できます（例：同じクライアントホストで複数のユーザーがクラスターにアクセスしている場合）。

構文

isi statistics client[--numeric][--local-addresses ［<string>］][--local_names ［<string>］][--remote_addresses ［<integer>］][--remote_names ［<string>］][--user-ids ［<integer>］][--user-names ［<string>］][--protocols ［<value>］]



[--classes ［<string>］][--nodes ［<value>］][--degraded][--nohumanize][--interval ［<integer>］][--repeat ［<integer>］][--limit][--long][--totalby ［<column>］][--output ［<column>］][--sort ［<column>］][--format][--no-header][--no-footer][--verbose]

オプション--numeric

ローカルホスト、リモートクライアント、またはユーザーのテキスト識別子が表示する列のリストに含まれる場合は（デフォルト設定では表示されます）、これらの列に相当する未解決の数値を表示します。

--local-addresses［<string>］統計情報をレポートする対象のローカル IP アドレスを指定します。

--local-names［<string>］統計情報をレポートする対象のローカルホスト名を指定します。

--remote-addresses［<string>］統計情報をレポートする対象のリモート IP アドレスを指定します。

--remote-names［<string>］統計情報をレポートする対象のリモートクライアント名を指定します。

--user-ids［<string>］統計情報をレポートする対象のユーザー ID を指定します。デフォルト値はすべてのユーザーです。

--user-names［<string>］統計情報をレポートする対象のユーザー名を指定します。デフォルト値はすべてのユーザーです。

--protocols［<value>］統計情報をレポートするプロトコルを指定します。複数の値をコンマ区切りリストで指定できます（例：--protocols http,papi）。次の値が有効です。l ［all］l ［external］l ［ftp］l ［hdfs］l ［http］l ［internal］


isi statistics client 135

l ［irp］l ［jobd］l ［lsass_in］l ［lsass_out］l ［nlm］l ［nfs3］l ［nfs4］l ［papi］l ［siq］l ［smb1］l ［smb2］

--classes［<string>］統計情報をレポートする操作クラスを指定します。デフォルト設定はすべてのクラスです。次の値が有効です。［other］

他の未分類操作のファイルシステム情報

［write］ファイルとストリームの書き込み

［read］ファイルとストリームの読み取り

［namespace_read］属性、統計、ACL の読み取り、検索、ディレクトリの読み取り

［namespace_write］名前変更、属性の設定、アクセス許可、時間、ACL の書き込み

{--nodes | -n} <node>統計情報をレポートするノードを指定します。複数の値をコンマ区切りリストで指定できます（例：--nodes 1,2）。デフォルト値は all です。次の値が有効です。l ［all］l ［<int>］

{--degraded | -d}

応答しないノードがある場合、レポートを継続させます。--nohumanize

動的に変換することなく、基本数量のすべてのデータを表示します。設定された場合、このオプションはデータテーブル内の単位の表示も無効にします。

{--interval | -i}［<float>］秒単位で指定されたインターバルでデータをレポートします。

{--repeat | -r} ［<integer>］



終了前のレポートの実行回数を指定します。

無期限にレポートを実行するには、［-1］を指定します。

{--limit | -l}［<integer>］表示する統計の数を制限します。

--long可能なすべての列を表示します。

--totalby［<column>］指定されたフィールドに応じて、結果を集約します。次の値が有効です。l ［Node］l {［Proto］ | ［protocol］}l ［Class］l {［UserId］ | ［user.id］}l {［UserName］ | ［user.name］}l {［LocalAddr］ | ［local_addr］}l {［LocalName］ | ［local_name］}l {［RemoteAddr］ | ［remote_addr］}l {［RemoteName］ | ［remote_name］}

--output［<column>］表示する列を指定します。次の値が有効です。{［NumOps］ | ［num_operations］}

操作が実行された回数を表示します。

{［Ops］ | ［operation_rate］}操作が実行された割合を表示します。1秒あたりの実行回数で表示されます。

{［InMax］ | ［in_max］}操作の最大入力（受信）バイト数を表示します。

{［InMin］ | ［in_min］}操作の最小入力（受信）バイト数を表示します。

［In］isi statistics が最後にデータを収集した時間からの操作の入力の割合を表示します。1秒あたりのバイト数で表示されます。

{［InAvg］ | ［in_avg］}操作の平均入力（受信）バイト数を表示します。

{［OutMax］ | ［out_max］}

操作の最大出力（送信）バイト数を表示します。


isi statistics client 137

{［OutMin］ | ［out_min］}操作の最小出力（送信）バイト数を表示します。

［Out］isi statistics が最後にデータを収集した時間からの操作の出力の割合を表示します。1秒あたりのバイト数で表示されます。

{［OutAvg］ | ［out_avg］}

操作の平均出力（送信）バイト数を表示します。

{［TimeMax］ | ［time_max］}操作の完了に要した最大経過時間を表示します。マイクロ秒の単位で表示されます。

{［TimeMin］ | ［time_min］}操作の完了に要した最小経過時間を表示します。マイクロ秒の単位で表示されます。

{［TimeAvg］ | ［time_avg］}操作の完了に要した平均経過時間を表示します。マイクロ秒の単位で表示されます。

［Node］操作が実行されたノードを表示します。

{［Proto］ | ［protocol］}操作のプロトコルを表示します。

［Class］操作のクラスを表示します。

{［UserID］ | ［user.id］}操作要求を発行しているユーザーの数値 UID を表示します。

{［UserName］ | ［user.name］}UserID の解決されたテキスト名を表示します。解決を実行できない場合は、UNKNOWN と表示されます。

{［LocalAddr］ | ［local_addr］}操作要求を発行しているユーザーのローカル IP アドレスを表示します。

{［LocalName］ | ［local_name］}操作要求を発行しているユーザーのローカルホスト名を表示します。

{［RemoteAddr］ | ［remote_addr］}操作要求を発行しているユーザーのリモート IP アドレスを表示します。

{［RemoteName］ | ［remote_name］}操作要求を発行しているユーザーのリモートクライアント名を表示します。

--sort［<column>］行の並べ替え方法を指定します。次の値が有効です。l {［NumOps］ | ［num_operations］}l {［Ops］ | ［operation_rate］}



l {［InMax］ | ［in_max］}l {［InMin］ | ［in_min］}l ［In］l {［InAvg］ | ［in_avg］}l {［OutMax］ | ［out_max］}l {［OutMin］ | ［out_min］}l ［Out］l {［OutAvg］ | ［out_avg］}l {［TimeMax］ | ［time_max］}l {［TimeMin］ | ［time_min］}l {［TimeAvg］ | ［time_avg］}l ［Node］l {［Proto］ | ［protocol］}l ［Class］l {［UserID］ | ［user.id］}l {［UserName］ | ［user.name］}l {［LocalAddr］ | ［local_addr］}l {［LocalName］ | ［local_name］}l {［RemoteAddr］ | ［remote_addr］}l {［RemoteName］ | ［remote_name］}

--format {table | json | csv | list | top}

表、JSON（JavaScript Object Notation）、CSV（コンマ区切り値）、リスト形式、またはデータが単一の表に連続して上書きされるトップスタイルの表示で出力を表示します。

--top を--repeatなしで指定した場合、レポートは無期限に実行されます。

{--noheader | -a}

列見出しのないデータを表示します。

{ --no-footer | -z}

フッターなしのデータを表示します。

{--verbose | -v}


isi statistics drive

ドライブ別にパフォーマンス情報を表示します。


isi statistics drive 139

構文

isi statistics drive[--type ［<value>］][--nodes ［<value>］][--degraded][--nohumanize][--interval ［<integer>］][--repeat ［<integer>］][--limit ［<integer>］][--long][--output ［<column>］][--sort ［<column>］][--format][--top][--no-header][--no-footer][--verbose]

オプション--type<string>

統計情報をレポートする対象のドライブタイプを指定します。デフォルト設定はすべてのドライブです。次の値が有効です。l ［sata］l ［sas］l ［ssd］

{ --nodes | -n} <node>統計情報をレポートするノードを指定します。複数の値をコンマ区切りリストで指定できます（例：--nodes 1,2）。デフォルト値は all です。次の値が有効です。l ［all］l ［<int>］

{--degraded | -d}

応答しないノードがある場合、実行を継続するようにレポートを設定します。--nohumanize

動的に変換することなく、基本数量のすべてのデータを表示します。このパラメータを設定すると、データテーブルの単位も表示されなくなります。

{--interval | -I} ［<integer>］秒単位で指定されたインターバルでデータをレポートします。

{--repeat | -r} ［<integer>］終了前のレポートの実行回数を指定します。

無期限にレポートを実行するように設定するには、［-1］を指定します。





--output［<column>］表示する列を指定します。次の値が有効です。

l {［Timestamp］ | ［time］}l {［Drive］ | ［drive_id］}

l {［Type］ | }

l {［BytesIn］ | ［bytes_in］}l {［SizeIn］ | ［xfer_size_in］}l {［OpsOut］ | ［xfers_out］}l {［BytesOut］ | ［bytes_out］}l {［SizeOut］ | ［xfer_size_out］}

l {［TimeAvg］ | ［access_latency］}

l {［Slow］ | ［access_slow］}l {［TimeInQ］ | ［iosched_latency］}

l {［Queued］ | ［iosched_queue］}

l {［Busy］ | ［used_bytes_percent］}

l {［Inodes］ | ［used_inodes］}

--sort［<column>］行の並べ替え方法を指定します。次の値が有効です。

l {［Timestamp］ | ［time］}

l {［Drive］ | ［drive_id］}

l {［Type］ | }

l {［BytesIn］ | ［bytes_in］}

l {［SizeIn］ | ［xfer_size_in］}

l {［OpsOut］ | ［xfers_out］}

l {［BytesOut］ | ［bytes_out］}

l {［SizeOut］ | ［xfer_size_out］}

l {［TimeAvg］ | ［access_latency］}

l {［Slow］ | ［access_slow］}

l {［TimeInQ］ | ［iosched_latency］}

l {［Queued］ | ［iosched_queue］}

l {［Busy］ | ［used_bytes_percent］}

l {［Inodes］ | ［used_inodes］}



isi statistics drive 141



{--noheader | -a}


{ --no-footer | -z}


{--verbose | -v}


isi statistics heat

さまざまなメトリックについて、最もアクティブな/ifsパスを表示します。構文

isi statistics heat[--events ［<string>］][--pathdepth ［<integer>］][--maxpath ［<integer>］][--classes ［<string>］][--numeric][--nodes ［<value>］][--degraded][--nohumanize][--interval ［<integer>］][--repeat ［<integer>］][--limit ［<integer>］][--long][--totalby ［<column>］][--output ［<column>］][--sort ［<column>］[--format][--no-header][--no-footer][--verbose]

オプション--events［<string>］

指定された情報に対してレポートされるイベントタイプを指定します。次の値が有効です。［blocked］

リソースが別の操作によってリリースされるのを待機して、LIN へのアクセスがブロックされました。クラスは［other］です。

［contended］LIN でクロスノード競合が発生しています。複数のノードが同時にアクセスしています。クラスは other です。



［deadlocked］LIN をロックしようとして、デッドロックが発生しました。クラスは［other］です。

［getattr］ファイルまたはディレクトリの属性が読み取られました。クラスは［namespace_read］です。

［link］LINはファイルシステムにリンクされています。このイベントに関連づけられている LINは親ディレクトリであり、リンクされた LIN ではありません。クラスは［namespace_write］です。

［lock］LINはロックされています。クラスは［other］です。

［lookup］ディレクトリで名前を検索します。検索されるディレクトリの LINは、イベントに関連づけられているものです。クラスは［namespace_read］です。

［read］読み取りが実行されました。クラスは［read］です。

［rename］ファイルまたはディレクトリの名前が変更されました。このイベントに関連づけられているLINは、ソースディレクトリまたは宛先ディレクトリで名前変更が行われたディレクトリです（異なる場合）。クラスは［namespace_write］です。

［setattr］ファイルまたはディレクトリの属性が、追加、変更、または削除されました。クラスは［namespace_write］です。

［unlink］ファイルまたはディレクトリが、ファイルシステムからリンク解除されました。このイベントに関連づけられている LINは、削除されたアイテムの親ディレクトリです。クラスは［namespace_write］です。

［write］書き込みが実行されました。クラスは［write］です。

-pathdepth［<integer>］指定した深さまでパスを減らします。

--maxpath［<integer>］ファイルシステムで検索する最大パス長を指定します。

--classes［<string>］指定された情報に対してレポートされるクラスを指定します。デフォルト設定はすべてのクラスです。次の値が有効です。［write］

ファイルとストリームの書き込み


isi statistics heat 143


［namespace_write］名前変更、属性の設定、アクセス許可、時間、ACL の書き込み


［other］ファイルシステムの情報

--numericローカルホスト、リモートクライアント、またはユーザーのテキスト識別子が表示する列のリストに含まれる場合は（デフォルト設定では表示されます）、これらの列に相当する未解決の数値を表示します。

{ --nodes | -n} ［<value>］統計情報をレポートするノードを指定します。複数の値をコンマ区切りリストで指定できます（例：--nodes 1,2）。デフォルト値は all です。次の値が有効です。l ［all］l ［<int>］

{--degraded | -d}






--limit［<integer>］集計および並べ替えの後、指定した数のエントリーだけを表示します。


--totalby［<column>］指定されたフィールドに応じて、結果を集約します。次の値が有効です。l ［Node］l {［Event］ | ［event_name］}



l {［Class］ | ［class_name］}l ［LIN］l ［Path］

--output［<column>］表示する列を指定します。次の値が有効です。{［Ops］ | ［operation_rate］}

操作が実行された割合を表示します。1秒あたりの実行回数で表示されます。


{［Event］ | ［event_name］}イベントの名前を表示します。

{Class］ | class_name}

操作のクラスを表示します。

［LIN］イベントと関連づけられているファイルまたはディレクトリの LIN を表示します。

［Path］イベントの LIN と関連づけられているパスを表示します。

--sort［<column>］行の並べ替え方法を指定します。次の値が有効です。l {［Ops］ | ［operation_rate］}l ［Node］l {［Event］ | ［event_name］}l {［Class］ | ［class_name］}l ［LIN］l ［Path］




{--noheader | -a}


{ --no-footer | -z}


{--verbose | -v}


isi statistics heat 145


isi statistics query current

現在の統計情報を表示します。

構文

isi statistics query history[--keys ［<string>］][--substr][--raw][--nodes ［<value>］][--degraded][--interval ［<number>］][--repeat ［<number>］][--limit][--long][--format][--no-header][--no-footer][--verbose]

オプション--keys［<string>］ ...

要求されたノードに対してレポートする統計を指定します。［<string>］の値は統計キーです。統計キーの完全なリストを表示するには、 isi statistics list keys コマンドを使用します。

--substr「*［<key>］ *」の統計情報を、--keys で指定されたすべてのキーと一致させます。

--raw複雑なオブジェクトを 16進数として出力します。


{--degraded | -d}

応答しないノードがある場合、実行を継続するようにレポートを設定します。

{--interval | -i} ［<float>］秒単位で指定されたインターバルでデータをレポートします。

{--repeat | -r} <integer>終了前のレポートの実行回数を指定します。









{--noheader | -a}


{ --no-footer | -z}


{--verbose | -v}


isi statistics query history

使用可能な履歴の統計を表示します。すべての統計情報が履歴クエリーをサポートするように構成されていません。

構文

isi statistics query history[--keys ［<string>］][--substr][--begin ［<integer>］][--end ［<integer>］][--resolution ［<number>］][--memory-only][--raw][--nodes ［<value>］][--degraded][--nohumanize][--interval ［<number>］][--repeat ［<number>］][--limit][--format][--no-header][--no-footer][--verbose]

オプション--keys［<string>］ ...

要求されたノードに対してレポートする統計を指定します。［<string>］の値は統計キーです。統計キーの完全なリストを表示するには、 isi statistics list keys コマンドを使用します。


isi statistics query history 147

--substr「*［<key>］ *」の統計情報を、--keys で指定されたすべてのキーと一致させます。

--begin［<time>］UNIX エポックタイムスタンプ形式の開始時刻を指定します。

--end［<time>］UNIX エポックタイムスタンプ形式の終了時刻を指定します。

--resolution［<integer>］系列データポイント間の最小間隔を指定します（秒単位）。

--memory-onlyメモリ内の統計情報のみを取得します。ディスクに保持されている統計情報は取得しません。

--raw複雑なオブジェクトを 16進数として出力します。


{--degraded | -d}












{--noheader | -a}


{ --no-footer | -z}


{--verbose | -v}


isi statistics list keys

使用可能なすべてのキーのリストを表示します。

構文

isi statistics list operations[--limit][--format][--no-header][--no-footer][--verbose]

オプション{--limit | -l}［<integer>］

表示する統計の数を制限します。




{--noheader | -a}


{ --no-footer | -z}


{--verbose | -v}


isi statistics list operations

［--operations］オプションの有効な引数のリストを表示します。構文

isi statistics list operations[--protocols ［<value>］]


isi statistics list keys 149

[--limit][--format][--no-header][--no-footer][--verbose]

オプション--protocols［<value>］

統計情報をレポートするプロトコルを指定します。複数の値をコンマ区切りリストで指定できます（例：--protocols http,papi）。次の値が有効です。l

l

l

l

l

l

l

［nfs3］［smb1］［nlm］［ftp］［http］［siq］［smb2］

l ［nfs4］l ［papi］l ［jobd］l ［irp］l ［lsass_in］l ［lsass_out］l ［hdfs］l ［console］l ［ssh］





{--noheader | -a}


{ --no-footer | -z}


{--verbose | -v}




isi statistics protocol

プロトコル別（NFSv3や HTTPなど）に統計を表示します。

構文

isi statistics protocol[--classes ［<class>］...][--protocols ［<protocol>］...][--operations ［<operation>］...][--zero][--nodes ［<value>］][--degraded][--nohumanize][--interval ［<integer>］][--repeat ［<integer>］][--limit][--long][--totalby ［<column>］...][--output ［<column>］...][--nodes <value>][--sort ［<column>］...][--format][--no-header][--no-footer][--verbose]

オプション--classes［<class>］

統計情報をレポートする操作クラスを指定します。次の値が有効です。その他

ファイルシステムの情報複数の値はコンマで区切って指定できます。

［write］ファイルとストリームの書き込み


［create］ファイル、リンク、ノード、ストリーム、ディレクトリの作成

［delete］ファイル、リンク、ノード、ストリーム、ディレクトリの削除


namespace_write

名前変更、属性の設定、アクセス許可、時間、ACL の書き込み


isi statistics protocol 151

file_state

取得、リリース、ブレーク、チェック、通知

session_state

プロトコル接続またはセッションの状態に関するネゴシエーションの照会または操作

--protocols［<value>］統計情報をレポートするプロトコルを指定します。複数の値をコンマ区切りリストで指定できます（例：--protocols http,papi）。次の値が有効です。l ［nfs3］l ［smb1］l ［nlm］l ［ftp］l ［http］l ［siq］l ［smb2］l ［nfs4］l ［papi］l ［jobd］l ［irp］l ［lsass_in］l ［lsass_out］l ［hdfs］l ［all］l ［internal］l ［external］

--operations［<operation>］統計情報をレポートする対象の操作を指定します。有効な値のリストを表示するには、isistatistics list operations コマンドを実行します。複数の値はコンマで区切って指定できます。

--zero値を持たないテーブルエントリーを表示します。

{--nodes | -n} <node>統計情報をレポートするノードを指定します。複数の値をコンマ区切りリストで指定できます（例：--nodes 1,2）。デフォルト値は all です。次の値が有効です。l ［all］l ［<int>］

{--degraded | -d}

応答しないノードがある場合、レポートの実行を続けます。



--nohumanize動的に変換することなく、基本数量のすべてのデータを表示します。このオプションを設定すると、データテーブルの単位も表示されなくなります。






--totalby <column>

指定されたフィールドに応じて、結果を集約します。次の値が有効です。l ［Node］l {［Proto］ | ［protocol］}l ［Class］l {［Op］ | ［operation］}

--output［<column>］表示する列を指定します。次の値が有効です。{［timestamp］ | ［time］}

isi statistics ツールが最後にデータを収集した時間を表示します。POSIX時間（1970年 1月 1日から経過した秒数）で表示されます。［<time-and-date>］を次の形式で指定します。

［<YYYY>］-［<MM>］-［<DD>］[T［<hh>］:［<mm>］[:［<ss>］]]

［<time>］を次の値の 1 つで指定します。［Y］







［h］時間を指定します。

［s］秒を指定します。

{［NumOps］ | ［operation_count］}操作が実行された回数を表示します。

{［Ops ］ | ［operation_rate］}操作が実行された割合を表示します。1秒あたりの実行回数で表示されます。

{［InMax］ | ［in_max］}操作の最大入力（受信）バイト数を表示します。

{［InMin］ | ［in_min］}操作の最小入力（受信）バイト数を表示します。

［In］isi統計情報が最後にデータを収集した時間からの操作の入力の割合を表示します。1秒あたりのバイト数で表示されます。

{［InAvg］ | ［in_avg］}

操作の平均入力（受信）バイト数を表示します。

{［InStdDev］ | ［in_standard_dev］}

操作の入力（受信）バイト数の標準偏差を表示します。バイトで表示されます。

{［OutMax］ | ［out_max］}操作の最大出力（送信）バイト数を表示します。

{［OutMin］ | ［out_min］}操作の最小出力（送信）バイト数を表示します。

［Out］isi統計情報が最後にデータを収集した時間からの操作の出力の割合を表示します。1秒あたりのバイト数で表示されます。

{［OutAvg］ | ［out_avg］}操作の平均出力（送信）バイト数を表示します。

{［OutStdDev］ | ［out_standard_dev］}

操作の出力（送信）バイト数の標準偏差を表示します。バイトで表示されます。

{［TimeMax］ | ［time_max］}操作の完了に要した最大経過時間を表示します。マイクロ秒の単位で表示されます。

{［TimeMin］ | ［time_min］}操作の完了に要した最小経過時間を表示します。マイクロ秒の単位で表示されます。

{［TimeAvg］ | ［time_avg］}操作の完了に要した平均経過時間を表示します。マイクロ秒の単位で表示されます。



{［TimeStdDev］ | ［time_standard_dev］}

操作の完了にかかった経過時間を、平均経過時間からの標準偏差として表示します。


{［Proto］ | ［protocol］}操作のプロトコルを表示します。

［Class］操作のクラスを表示します。

{［Op］ | ［operation］}操作の名前を表示します。

--sort <column>

行の並べ替え方法を指定します。次の値が有効です。l ［Class］l ［In］l ［InAvg］ | ［in_avg］}l ［InMax］ | ［in_max］}l ［InMin］ | ［in_min］}l ［InStdDev］ | ［in_standard_dev］}l ［Node］l ［NumOps］ | ［operation_count］}l ［Op］ | ［operation］}l ［Ops］ | ［operation_rate］}l ［Out］l ［OutAvg］ | ［out_avg］}l ［OutMax］ | ［out_max］}l ［OutMin］ | ［out_min］}l ［OutStdDev］ | ［out_standard_dev］}l ［Proto］ | ［protocol］}l ［TimeAvg］ | ［time_avg］}l ［TimeMax］ | ［time_max］}l ［TimeMin］ | ［time_min］}l ［TimeStamp］ | ［time］}l ［TimeStdDev］ | ［time_standard_dev］}






{--noheader | -a}


{ --no-footer | -z}


{--verbose | -v}


isi statistics pstat

クラスター全体の選択およびプロトコルデータを表示します。

構文

isi statistics pstat[--protocol ［<protocol>］][--degraded][--interval ［<integer>］][--repeat ［<integer>］][--format][--verbose]

オプション--protocols［<value>］

統計情報をレポートするプロトコルを指定します。複数の値をコンマ区切りリストで指定できます（例：--protocols http,papi）。次の値が有効です。l ［nfs3］l ［smb1］l ［nlm］l ［ftp］l ［http］l ［siq］l ［smb2］l ［nfs4］l ［papi］l ［jobd］l ［irp］l ［lsass_in］l ［lsass_out］l ［hdfs］



{--degraded | -d}

応答しないノードがある場合、実行を継続するようにレポートを設定します。







{--verbose | -v}


isi statistics system

サポートされるすべてのプロトコルに対する操作レートやネットワークおよびディスクの統計など、クラスターに関する一般的な統計を表示します。

構文

isi statistics system[--oprates][--nodes][--degraded][--nohumanize][--interval ［<integer>］][--repeat ［<integer>］][--limit][--long][--output ［<column>］][--sort ［<column>］][--format][--no-header][--no-footer][--verbose]

オプション--oprates

デフォルトのスループット統計ではなく、プロトコル操作レート統計を表示します。

{ --nodes | -n} <node>統計情報をレポートするノードを指定します。複数の値をコンマ区切りリストで指定できます（例：--nodes 1,2）。デフォルト値は all です。次の値が有効です。


isi statistics system 157

l ［all］l ［<int>］

{--degraded | -d}








--output［<column>］表示する列を指定します。次の値が有効です。 l {Timestamp | time}

l ［Node］l ［CPU］l ［SMB］l ［FTP］l ［HTTP］l ［NFS］l ［HDFS］l ［Total］l {NetIn | net_in}

l {NetOut | net_out}

l {DiskIn | disk_in}

l {DiskOut | disk_out}

--sort［<column>］行の並べ替え方法を指定します。次の値が有効です。l {［Timestamp］ | ［time］}



l ［Node］l ［CPU］l ［SMB］l ［FTP］l ［HTTP］l ［NFS］l ［HDFS］l ［Total］l { NetIn | net_in}

l { NetOut | net_out}

l {DiskIn | disk_in}

l {DiskOut | disk_out}




{--noheader | -a}


{ --no-footer | -z}


{--verbose | -v}


isi status

クラスター上のノードの現在のステータスに関する情報を表示します。

構文

isi status[--all-nodes | -a][--node | -n ［<integer>］][--all-nodepools | -p][--nodepool | -l ［<string>］][--quiet | -q][--verbose | -v]

オプション--all-nodes | -a

クラスター上のすべてのノードのノード固有のステータスを表示します。


isi status 159

--node | -n［<integer>］LNN（論理ノード番号）で指定されたノードのノード固有のステータスを表示します。

--all-nodepools | -pクラスター内のすべてのノードプールのノードプールステータスを表示します。

--nodepool | -l［<string>］指定されたノードプールのノードプールステータスを表示します。

--quiet | -q詳細情報を表示します。

--verbose | -v--nodepool または--all-nodepools オプションの詳細情報を表示します。

isi upgrade cluster add-nodes

実行中のアップグレードプロセスに新しいノードを追加します。

構文

isi upgrade cluster add-nodes ［<nodes>］[--yes]

オプション［<nodes>］

アップグレードをマークするために、コンマ区切り（1,3,7）またはダッシュ区切り（1-7）で指定された LNN（論理ノード番号）のリスト。

--yesプロンプトで自動的に「yes」と回答します。

isi upgrade cluster add-remaining-nodes

既存のアップグレードに残りのノードまたは新しいノードが含まれるようにします。

構文

isi upgrade cluster add-remaining-nodes[--yes]

オプション--yes

プロンプトで自動的に「yes」と回答します。

isi upgrade cluster archive

アップグレードフレームワークのアーカイブを開始します。



構文

isi upgrade cluster archive [--clear]

オプション--clear

アーカイブが完了後、アップグレードをクリアします。

isi upgrade cluster assess

アップグレードを開始せずにアップグレードチェックを実行します。

構文

isi upgrade cluster assess ［<install-image-path>］

オプション［<install-image-path>］

アップグレードインストールイメージのパス。/ifs または http://ソース内になければなりません。

isi upgrade cluster commit

新しいバージョンへのアップグレードをコミットします。このコマンドの実行後、ロールバックはできません。

構文

isi upgrade cluster commit [--yes]


アップグレードコミットプロンプトで自動的に「yes」と回答します。

isi upgrade cluster firmware

これは、ファームウェアアップグレードに対応するコマンドラインインターフェイスです。

構文

isi upgrade cluster firmware ［<action>］ [--timeout ［<integer>］]

オプション［<action>］

ファームウェアアップグレードに対して実行できるアクションを指定します。


isi upgrade cluster assess 161

package

クラスター上のすべてのノードをリストし、特定のノードのファームウェアパッケージの詳細情報を表示します。

devices

クラスター上のすべてのノードをリストし、各ノードの現在のファームウェアの詳細ステータスを表示します。

assess

ファームウェアアップグレードを開始せずにアップグレードチェックを実行します。

view

現在のファームウェアアップグレードアクティビティのステータスの概要を表示します。

start

アップグレードプロセスを開始します。

すべてのアップグレードプロセスの実行には時間がかかります。コマンドのリターンステータスは、コマンドそのものの発行にのみ関連し、コマンドの正常な完了には関連しません。

--timeout［<integer>］コマンドタイムアウトの秒数。

例次のコマンドは、ファームウェアアップグレードを開始せずにアップグレードチェックを実行します。

isi upgrade cluster firmware assess

isi upgrade cluster from-version

アップグレードするクラスターのバージョンを表示します。

構文


例アップグレードするクラスターのバージョンに関する情報を表示するには、次のコマンドを実行します。



Upgrading Current OS Version: 7.2.1.1 Major: 7 Minor: 0 Maintenance: 0



Bugfix: 0

isi upgrade cluster nodes firmware

これは、無停止アップグレードファームウェアのアップグレードフレームワークに対応するコマンドラインインターフェイスです。

構文

isi upgrade cluster nodes firmware ［<action>］[--timeout ［<integer>］]

オプション［<action>］

ノードのファームウェア更新に関して実行できるレポートアクションを指定します。devices

インストールされているファームウェアパッケージでサポートされるノード上のデバイスをレポートします。

package

インストールされているファームウェアパッケージの内容をレポートします。

progress

ファームウェアアップグレードに関するステータス情報をリストまたはビュー形式でレポートします。

--timeout［<integer>］コマンドタイムアウトの秒数。

例次のコマンドは、インストールされているファームウェアパッケージの内容を表示します。

isi upgrade cluster nodes firmware package

isi upgrade cluster nodes list

クラスター上のすべてのノードをリストし、アップグレードアクティビティの詳細ステータスを表示します。

構文


例クラスター上のすべてのノードのアップグレードステータスをリストするには、次のコマンドを実行します。



isi upgrade cluster nodes firmware 163


Node LNN: 1Node Upgrade State: committed

Error Details: NoneLast Upgrade Action: -Last Action Result: -

Node Upgrade Progress: NoneNode OS Version: 8.0.0.0

Node LNN: 2Node Upgrade State: non-responsive


Node Upgrade Progress: unknownNode OS Version: N/A




isi upgrade cluster nodes view

指定したノードの現在のアップグレードアクティビティの詳細ステータスを表示します。

構文

isi upgrade cluster nodes view ［<lnn>］

オプション［<lnn>］

アップグレードステータスを表示するノードの LNN（論理ノード番号）。

例LNN 1 を持つノードのアップグレードステータスを表示するには、次のコマンドを実行します。

isi upgrade cluster nodes view 1





isi upgrade cluster retry-last-action

前の操作が失敗した場合、ノードでの最後のアップグレード操作を再試行します。



構文

isi upgrade cluster retry-last-action ［<nodes>］

オプション［<nodes>］

選択するコンマ区切り（1,3,7）またはダッシュ区切り（1-7）の論理ノード番号のリスト。特定の時点ですべてのクラスターのノードを選択するために、all を使用することもできます。

isi upgrade cluster rollback

クラスターのアップグレードを停止し、以前のバージョンに戻ります。これにより、アップグレードが強制的にロールバックされます。

構文

isi upgrade cluster rollback [--yes]


確認プロンプトで自動的に「yes」と回答します。

isi upgrade cluster settings

現在実行しているアップグレードの設定を表示します。

構文

isi upgrade cluster settings


isi upgrade cluster start

アップグレードプロセスを開始します。

構文

isi upgrade cluster start ［<install-image-path>］ [--skip-optional] [--yes] [--simultaneous] [--nodes ［<integer_range_list>］]

オプション［<install-image-path>］


isi upgrade cluster rollback 165

アップグレードインストールイメージの場所のファイルパス。ファイルパスは、/ifs ディレクトリからまたは https:// URL によりアクセスできる必要があります。

--skip-optionalオプションのアップグレード前チェックをスキップします。

--yes確認プロンプトで自動的に「yes」と回答します。

--simultaneous同時アップグレードを開始します。

--nodes［<integer_range_list>］アップグレードを選択するコンマ区切り（1,3,7）またはダッシュ区切り（1-7）の LNN（論理ノード番号）のリスト。

isi upgrade cluster to-version

アップグレードするクラスターのバージョンを表示します。

構文

isi upgrade cluster to-version


isi upgrade cluster view

クラスター上の現在のアップグレードアクティビティのステータスを表示します。

構文

isi upgrade cluster view


isi upgrade patches abort

直近に失敗したアクションを中断することにより、パッチシステムを修復します。

構文

isi upgrade patches abort [--force]

オプション{--force | -f}

このコマンドでの確認プロンプトをスキップします。



isi upgrade patches install

システムのパッチをインストールします。

構文

isi upgrade patches install ［<patch>］[--rolling {yes | no}][--override]

オプション［<patch>］

インストールするパッチのファイルパスの場所。これは/ifs ファイルシステム内の絶対パスでなければなりません。

{--rolling | -r} {yes | no}

ローリングパッチのインストールを実行します。no の値を指定すると、すべてのノードで同時にインストールが実行されます。

{--override | -o}

パッチシステムの検証をオーバーライドし、パッチを強制的にインストールします。

isi upgrade patches list

すべてのシステムのパッチをリストします。

構文

isi upgrade patches list[--local][--limit ［<integer>］][--format {tabel | json | csv | list}][--no-header][--no-footer][--verbose]

オプション--local

ローカルノードのパッチ情報のみをリストします。

{--limit | -l} ［<integer>］表示するアップグレードのパッチの数。


表、JSON、CSV、リスト形式でアップグレードのパッチを表示します。

{--no-header | -a}

ヘッダーは CSV または表形式で表示されません。

{--no-footer | -z}



isi upgrade patches install 167

{--verbose | -v}


isi upgrade patches uninstall

システムのパッチをアンインストールします。

構文

isi upgrade patches uninstall ［<patch>］ [--rolling {yes | no}] [--override] [--force]


アンインストールするパッチの名前または ID。

{--rolling | -r} {yes | no}

ローリングパッチのアンインストールを実行します。no の値を指定すると、すべてのノードで同時にアンインストールが実行されます。

{--override | -o}

パッチシステムの検証をオーバーライドし、パッチを強制的にアンインストールします。

{--force | -f}

確認プロンプトをスキップします。

isi upgrade patches view

システムのパッチの詳細を表示します。

構文

isi upgrade patches view ［<patch>］ [--local]


表示するパッチの名前または ID。

--localローカルノードのパッチ情報のみを表示します。

isi version

クラスターのバージョン情報を表示します。



構文

isi version[--format {list | json}][--verbose

オプション--format {list | json}

クラスターのバージョン情報を、リストまたは JSON形式で表示します。

{--verbose | -v}

クラスターのバージョン情報の詳細を表示します。

isi_for_array

アレイ内の複数のノードに対して、複数のコマンドを同時に、または順番に実行します。オプションが競合する場合、最後に指定されているものが優先されます。

-k、-u、-p、-q オプションは SSH トランスポートでのみ有効です。

構文

isi_for_array[--array-name ［<array>］][--array-file ［<filename>］][--directory ［<directory>］][--diskless][--ignore-errors][--known-hosts-file ［<filename>］][--user ［<user>］][--nodes ［<nodes>］][--password ［<password>］][--pre-command ［<command>］][--query-password][--quiet][--serial][--storage][--transport ［<transport-type>］][--throttle ［<setting>］][--exclude-nodes ［<nodes>］][--exclude-down-nodes]

オプション{--array-name | -a} ［<array>］［<array>］を使用します。

{--array-file | -A} ［<filename>］アレイの情報を［<filename>］から読み取ります。デフォルトでは最初に$HOME/.array.xml を、次に /etc/ifs/array.xml を探します。

{--directory | -d} ［<directory>］


isi_for_array 169

リモートコンピューター上の指定したディレクトリからコマンドを実行します。現在の作業ディレクトリがデフォルトのディレクトリです。［<directory>］が空の場合、リモートコンピューターのユーザーのホームディレクトリでコマンドが実行されます。

{--diskless | -D}

ディスクレスノードからコマンドを実行します。

{--ignore | -I}

ゼロ以外の終了ステータスを返すノードのエラーメッセージの出力を抑制します。すべてのノードから最大の終了ステータスを返します。

{--known-hosts-file | -k} ［<filename>］デフォルトの/dev/null ではなく、SSH の既知のホストファイルの［<filename>］を使用します。

{--user | -u | -l} ［<user>］デフォルトの root ユーザーではなく、［<user>］としてログインします。

{--nodes | -n} ［<nodes>］指定されたノードでコマンドを実行します。複数回指定できます。ノード名またはノード ID範囲のリストを指定する必要があります（例：1,3-5,neal8,10）。ノードが明示的に表示されない場合は、アレイ全体が使用されます。

{--password | -p | --pw} ［<password>］デフォルトのパスワードの代わりに、指定したパスワードを使用します。

{--pre-command | -P} ［<command>］他のコマンドの前に、指定したコマンドを実行します。環境設定に便利であり、複数回指定できます。-を指定して実行前のリストをリセットできます。

{--query-password | -q}

パスワードの指定をユーザーに要求します。

{--quiet | -Q}

各出力行でのホストプレフィックスの出力を抑制します。

{--serial | -s}

同時ではなく順番にコマンドを実行します。

{--storage | -S}

ストレージノードからコマンドを実行します。

{--transport | -t} ［<transport-type>］ネットワークトランスポートタイプを指定します。デフォルト値は rpc です。有効なトランスポート値は rpc または ssh です。

{--throttle | -T} ［<setting>］スロットリングを調整します。スロットリングを無効化するには、0 を指定します。デフォルト valueは 24 です。

{--exclude-nodes | -x} ［<nodes>］指定されたノードをコマンドから除外します。この引数は、-n オプションと同じように指定します。



{--exclude-down-nodes | -X}

オフラインのノードをコマンドから除外します。このコマンドは、クラスターのローカル使用のみに制限されます。

例SmartLock コンプライアンスモードでは、root権限が必要なコマンドに対して isi_for_arrayを実行するには、sudo を 2回指定する必要があります。たとえば、次のコマンドは、コンプライアンスクラスター内の各ノードで isi statistics client list を実行します。

sudo isi_for_array -u compadmin sudo isi statistics client list

isi get

一連のファイルに関する情報（リクエストされた保護、現在の実際の保護、書き込みの結合が有効かどうかなど）が表示されます。リクエストされた保護は緑、黄、赤のいずれかで表示されます。緑は、完全な保護を示します。黄は、ミラーリングポリシーでの縮退した保護を示します。赤は、パリティポリシーでの 1 つ以上のデータブロックの損失を示します。

構文

isi get {{[-a] [-d] [-g] [-s] [{-D | -DD | -DDC}] [-R] <path>}| {[-g] [-s] [{-D | -DD | -DDC}] [-R] -L ［<lin>］}}

オプション-a

各ディレクトリの非表示の「.」および「..」エントリーを表示します。

-d

内容ではなくディレクトリの属性を表示します。

-g

スナップショットガバナンスリストなど、詳細情報を表示します。

-s

色ではなく言葉を使用して保護ステータスを表示します。

D


-DD

保護グループおよびセキュリティディスクリプタの所有者とグループに関する情報を含めます。

-DDC

巡回冗長検査（CRC）の情報を含めます。

-R

指定されたディレクトリのサブディレクトリとファイルに関する情報を表示します。


isi get 171

<path>

指定したファイルまたはディレクトリの情報を表示します。ファイルまたはディレクトリのパスとして指定します。

-L <lin>

指定したファイルまたはディレクトリの情報を表示します。ファイルまたはディレクトリの LIN として指定します。

例次のコマンドを実行すると、ifs/home/およびそのすべてのサブディレクトリについての情報が表示されます。

isi get -R /ifs/home


POLICY LEVEL PERFORMANCE COAL FILEdefault 4x/2 concurrency on ./default 8x/3 concurrency on ../default 4x/2 concurrency on admin/default 4x/2 concurrency on ftp/default 4x/2 concurrency on newUser1/default 4x/2 concurrency on newUser2/

/ifs/home/admin:default 4+2/2 concurrency on .zshrc

/ifs/home/ftp:default 4x/2 concurrency on incoming/default 4x/2 concurrency on pub/

/ifs/home/ftp/incoming:

/ifs/home/ftp/pub:

/ifs/home/newUser1:default 4+2/2 concurrency on .cshrcdefault 4+2/2 concurrency on .logindefault 4+2/2 concurrency on .login_confdefault 4+2/2 concurrency on .mail_aliasesdefault 4+2/2 concurrency on .mailrcdefault 4+2/2 concurrency on .profiledefault 4+2/2 concurrency on .rhostsdefault 4+2/2 concurrency on .shrcdefault 4+2/2 concurrency on .zshrc

/ifs/home/newUser2:default 4+2/2 concurrency on .cshrcdefault 4+2/2 concurrency on .logindefault 4+2/2 concurrency on .login_confdefault 4+2/2 concurrency on .mail_aliasesdefault 4+2/2 concurrency on .mailrcdefault 4+2/2 concurrency on .profiledefault 4+2/2 concurrency on .rhostsdefault 4+2/2 concurrency on .shrcdefault 4+2/2 concurrency on .zshrc



isi_gather_info

最新のクラスターログ情報をを収集して、ESRS（EMC セキュアリモートサービス）にアップロードします。［-i］、［-f］、［-s］、［-S］、［-1］の複数インスタンスが許容されます。gather_expr と analysis_expr を引用できます。

デフォルトの一時ディレクトリは /ifs/data/Isilon_Support/ です（［-L］または［-T］と変更）。構文

isi_gather_info[-h][-v][-u ［<user>］][-p ［<password>］][-i][--incremental][-l][-f ［<filename>］][-n ［<nodes>］][--local-only][--skip-node-check][-s gather-script][-S gather-expr][-1 gather-expr][-a analysis-script][-A analysis-expr][-t ［<tarfile>］][-x exclude_tool][-I][-L][-T ［<temp-dir>］][--tardir ［<dir>］][--symlinkdir ［<dir>］][--varlog_recent][--varlog_all][--nologs][--group ［<name>］][--clean-cores][--clean-all][--no-dumps][--dumps][--no-cores][--cores][--upgrade-archive][--debug][--verbose][--noconfig][--save-only][--save][--upload][--noupload][--re-upload ［<filename>］][--verify-upload][--http][--nohttp][--http-host ［<host>］][--http-path ［<dir>］]


isi_gather_info 173

[--http-proxy ［<host>］] [--http-proxy-port ［<port>］] [--ftp] [--noftp] [--ftp-user ［<user>］] [--ftp-pass ［<password>］] [--ftp-host ［<host>］] [--ftp-path ［<dir>］] [--ftp-port ［<alt-port>］] [--ftp-proxy ［<host>］] [--ftp-proxy-port ［<port>］] [--ftp-mode ［<mode>］] [--esrs] [--email] [--noemail] [--email-addresses] [--email-from] [--email-subject] [--email-body] [--skip-size-check]

オプション-h

このメッセージを表示して終了します。

-vバージョン情報を表示して終了します。

-u［<user>］デフォルトの root ユーザーではなく、［<user>］としてのログインを指定します。

-p［<password>］［<password>］を使用します。

-iリストされているユーティリティのみを含めます。含まれるユーティリティのリストについては、［-l］オプションも参照してください。特殊な値［all］は、すべての既知のユーティリティを含める場合に使用します。

--incremental最後のログアップロードの後で変化したログのみを収集します。

-l含めることができるユーティリティおよびグループを一覧表示します。-i および--group を参照してください。

-f［<filename>］各ノードから［<filename>］を収集します。値は、絶対パスである必要があります。

-n［<nodes>］



指定したノードだけから情報を収集します。ノードは、LNN のリストまたは範囲で指定する必要があります（例：1,4-10,12,14）。ノードが指定されていない場合は、アレイ全体が使用されます。ダウンしているノードは自動的に除外されます。

--local-onlyローカルノードからのみ情報を収集します。このオプションは、/ifs ファイルシステムからファイルを収集する場合に実行します。

--skip-node-checkノードの可用性のチェックをスキップします。

-s gather-scriptすべてのノードで［<gather-script>］を実行します。

-S gather-exprすべてのノードで［<gather-expr>］を実行します。

-1 gather-exprローカルノードで［<gather-expr>］を実行します。

-a analysis-script結果に対して［<analysis-script>］を実行します。

-A analysis-exprすべてのノードで［<analysis-expr>］を実行します。

-t［<tarfile>］デフォルトの tar ファイルではなく、指定された［<tarfile>］にすべての結果を保存します。

-x exclude_tool各ノードでの収集から、指定されたツールを除外します。複数のツールをコンマで区切って指定できます。

-I/ifs に結果を保存します。これは、デフォルト設定です。

-Lすべての結果をローカルストレージの /var/crash/support/ に保存します。

-T［<temp-dir>］デフォルトディレクトリではなく、［<temp-dir>］にすべての結果を保存します。-Tは-L と-lに優先します。

--tardir［<dir>］最終的なパッケージを、指定されたディレクトリに直接格納します。

--symlinkdir［<dir>］指定されたディレクトリ内の最終パッケージに対して symlink を作成します。


isi_gather_info 175

--varlog_recent圧縮およびローテーションされた古いログを除いて /var/log のすべてのログを収集します。デフォルト設定はすべてのログです。

--varlog_all圧縮およびローテーションされた古いログを含む /var/log のすべてのログを収集します。これはデフォルト設定です。

--nologs必要な最小数のログを収集しません。

--group［<name>］特定のユーティリティグループを tar ファイルに追加します。

--clean-coresパッケージが正常に圧縮された後に、/var/crash からコアを削除します。

--clean-dumpsパッケージが正常に圧縮された後に、/var/crash からダンプを削除します。

--clean-allパッケージが正常に圧縮された後に、/var/crash からからコアとダンプを削除します。

--no-dumpsパッケージのハングダンプを収集しません。

--dumpsパッケージにコアを追加します。

--no-coresパッケージのコアを収集しません。

--coresパッケージにダンプを追加します。

--upgrade-archive

パッケージにアップグレードアーカイブを追加します。

--debugデバッグメッセージを表示します。

--verbose詳細を表示します。

--noconfig組み込みのデフォルト値を使用し、構成ファイルをバイパスします。

--save-onlyCLI で指定された構成をファイルに保存して終了します。

--saveCLI で指定された構成をファイルに保存し、それを実行します。



--uploadIsilon テクニカルサポートにログを自動的にアップロードします。これはデフォルト設定です。

--nouploadIsilon テクニカルサポートへの自動アップロードを行いません。

--re-upload［<filename>］指定された［<filename>］を再度アップロードします。

--verify-uploadtar ファイルを作成してアップロードし、接続をテストします。

--httpHTTP でアップロードを試みます。これはデフォルト設定です。

--nohttpHTTP でのアップロードを試みません。

--http-host ［<host>］アップロードの代替 HTTP サイトを指定します。

--http-path［<dir>］代替 HTTP アップロードディレクトリを指定します。

--http-proxy［<host>］使用するプロキシサーバーを指定します。

--http-proxy-port［<port>］使用するプロキシポートを指定します。

--ftpFTP でアップロードを試みます。この設定がデフォルト値です。

--noftpFTP でのアップロードを試みません。

--ftp-user［<user>］FTP の代替ユーザーを指定します（デフォルト：anonymous）。

--ftp-pass［<password>］FTP の代替パスワードを指定します。

--ftp-host［<host>］アップロードの代替 FTP サイトを指定します。

--ftp-path［DIR］代替 FTP アップロードディレクトリを指定します。


isi_gather_info 177

--ftp-port［<alt-port>］アップロードの代替 FTP ポートを指定します。

--ftp-proxy［<host>］使用するプロキシサーバーを指定します。

--ftp-proxy-port［<port>］使用するプロキシポートを指定します。

--ftp-mode［<mode>］FTP ファイル転送のモードを指定します。次の値が有効です。［both］、［active］、［passive］。デフォルト値は［both］です。

--esrsESRS でアップロードを試みます。

--emailSMTP でアップロードを試みます。設定すると、SMTP が最初に試みられます。

--noemailSMTP でのアップロードを試みません。これがデフォルト値です。

--email-addressesコンマ区切り文字列でメールアドレスを指定します。

--email-from送信者のメールアドレスを指定します。

--email-subject代替メール件名を指定します。

--email-body本文の見出しに表示する代替メールテキストを指定します。

--skip-size-check収集されたファイルのサイズを調べません。

isi_phone_home

特定のノードおよびクラスタ関連の情報を収集して毎週 Isilon テクニカルサポートに送信する、isi_phone_home機能の設定を変更します。ESRS（EMC セキュアリモートサービス）が有効な場合、この機能はデフォルトで有効になります。

構文

isi_phone_home[--enable][--disable][--logging-level {debug | info | warning | error | critical}][--list-file ［<string>］]



[--script-file ［<string>］][--create-package][--send-data][--delete-data]

オプション

OneFS コマンドラインインターフェイスからは、--enable または--disable のオプションのみ実行することをお勧めします。これ以外のすべてのオプションは、ツールを有効にすると自動的に実行されます。ここでは、Isilon テクニカルサポートから特定のタイプの情報を質問された場合の参考のために説明します。

{--enable | -e}

isi_phone_home を有効にします。これにより、ESRS が構成され、有効になります。Isilon クラスタの構成時に ESRS を有効にすると、この機能は自動的に有効になります。

{--disable | -d}

isi_phone_home を無効にします。{--logging-level | -o} {debug | info | warning | error | critical}

あるログの状態に固有のログと、優先度の高いすべてのログを出力します。デフォルトはエラーです。これは、条件 error と critical のすべてのログが出力されることを意味します。下位のログ（警告など）を選択すると、レベル warning、error、critical のすべてのログが出力されます。デフォルト設定は変更しないことをお勧めします。

{--list-file | -l} ［<string>］クラスタに対して実行される isi コマンドを含むファイルのリストの名前を受信します。これらのリストファイルは/usr/local/isi_phone_home/list にあります。

{--script-file | -r} ［<string>］クラスタに対して実行される Python スクリプトファイルの名前を受信します。これらのスクリプトファイルは/usr/local/isi_phone_home/script にあります。

{--create-package | -c}

/ifs/data/Isilon_Support/phone_home/data ディレクトリ内のすべてのファイルを gzip ファイルにグループ化します。このファイルは/ifs/data/Isilon_Support/phone_home/pkg にコピーされます。

{--send-data | -s}

/ifs/data/Isilon_Support/phone_home/pkg をスキャンし、未送信の gzip ファイルを ESRS を介して Isilon テクニカルサポートにアップロードします。

{--delete-data | -t}

30日以上経過したすべての gzip ファイルを/ifs/data/Isilon_Support/phone_home/pkg ディレクトリから削除します。


isi_phone_home 179

イベントコマンドイベントコマンドを使用すると、OneFS のイベントおよび通知ルールの設定にアクセスして構成できます。isi events をサブコマンドなしで実行した場合、isi events list を実行するのと同じになります。

isi event alerts create

新しいアラートを作成します。

構文

isi event alerts create <name> <condition> [--category <string>] [--eventgroup <string>] [--severity {emergency | critical | warning | information}] [--channel <string>] [--limit <integer>] [--interval <duration>] [--transient <duration>] [--description <string>] [--verbose]

オプション<name>

アラート名を指定します。<condition>

アラートが送信される条件を指定します。条件の値は大文字と小文字が区別されます。次の値が有効です。［NEW］

前に報告されたことのないイベントグループの発生に関してレポートします。

［NEW_EVENTS］イベントグループが最後に報告された以降の新しいイベントグループの発生に関してレポートします。

［ONGOING］解決されなかったイベントグループの発生に関する定期的なレポートを提供します。

［SEVERITY_INCREASE］イベントグループが最後に報告された以降に重大度が増加したイベントグループの発生に関してレポートします。

［SEVERITY_DECREASE］イベントグループが最後に報告された以降に重大度が低下したイベントグループの発生に関してレポートします。

［RESOLVED］イベントグループが最後に報告された以降に解決されたイベントグループの発生に関してレポートします。



--category<string>...

アラートする 1 つ以上のイベントグループカテゴリーの名前を指定します。

--eventgroup<string>...

アラートする 1 つ以上のイベントグループの名前を指定します。

--severity {emergency | critical | warning | information}

アラートで報告するイベントの重要度を指定します。重要度の値は大文字と小文字が区別されます。--severity の手順を繰り返して、追加の重大度レベルに関するアラートレポートを作成します。

{--channel | -c}<string>...

アラートを配信する 1 つ以上のチャネルの名前を指定します。

--limit<integer>送信できるアラートの最大数を設定します。NEW_EVENTS アラート条件にのみ適用されます。

--interval<integer><time>継続的なアラートのレポート間の期間を設定します。ONGOING アラート条件にのみ適用されます。次の［<time>］値が有効です。Y


M

月を指定します。

W

週を指定します。

D

日を指定します。

H

時間を指定します。

m

分を指定します。

s

秒を指定します。

--transient<integer><time>イベントグループの発生がレポートされる前に、それが存在していなければならない最短時間を設定します。継続する期間がこの時間よりも短い発生は一時的なものとみなされ、レポートされません。次の［<time>］値が有効です。Y


M



isi event alerts create 181

W


D


H


m


s


--description<string>アラートの説明を指定します。

{--verbose | -v}


isi event alerts delete

アラートを削除します。

構文

isi event alerts delete <id> [--force] [--verbose]

オプション<id>

削除するアラートの ID を指定します。

{--force | -f}

確認を行わずにアラートを削除します。

{--verbose | -v}



アラートのリストを表示します。

構文

isi event alerts list [--channel <string>] [--limit <integer>] [--sort {name | eventgroup | category | channel | condition | limit | interval | transient}]



[--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプション{--channel | -c} <string>...

指定されたチャネルにのみアラートが表示されます。

{--limit | -l} <integer>表示するアラートの最大数を設定します。

--sort {name | eventgroup | category | channel | condition | limit |interval | transient}

アイテムのソート基準にするフィールドを指定します。

{--descending | -d}



出力をテーブル（デフォルト）、JSON（JavaScript Object Notation）、CSV（コンマ区切り値）、リスト形式で表示します。

{ --no-header | -a}

ヘッダーなしのテーブルと CSV の出力を表示します。

{ --no-footer | -z}

フッターなしのテーブル出力を表示します。

{--verbose | -v}


isi event alerts modify

アラートを変更します。

構文

isi event alerts modify <id> [--name <string>] [--eventgroup <string>] [--clear-eventgroup] [--add-eventgroup <string>] [--remove-eventgroup <string>] [--category <string>] [--clear-category] [--add-category <string>] [--remove-category <string>] [--channel <string> [--clear-channel] [--add-channel <string>] [--remove-channel <string>] [--severity {emergency | critical | warning | information}] [--clear-severity] [--add-severity {emergency | critical | warning | information}]


isi event alerts modify 183

[--remove-severity {emergency | critical | warning | information}] [--condition {NEW | NEW_EVENTS | ONGOING | SEVERITY_INCREASE | SEVERITY_DECREASE | RESOLVED}] [--limit <integer>] [--interval <integer> <time>] [--transient <integer> <time>] [--verbose]

オプション<id>

変更するアラートの ID を指定します。

{--name | -n} <string>アラート条件の名前を指定します。

--eventgroup<string>...

アラートする 1 つ以上のイベントグループの名前を指定します。

--clear-eventgroupアラートするイベントグループの値をクリアします。

--add-eventgroup<string>...

アラートする 1 つ以上のイベントグループの名前を追加します。

--remove-eventgroup<string>...

アラートする 1 つ以上のイベントグループの名前を削除します。

--category<string>...

アラートする 1 つ以上のイベントグループカテゴリーの名前を指定します。

--clear-categoryアラートするイベントグループカテゴリーの値をクリアします。

--add-category<string>...

アラートする 1 つ以上のイベントグループカテゴリーの名前を追加します。

--remove-category<string>...

アラートする 1 つ以上のイベントグループカテゴリーの名前を削除します。

{--channel | -c} <string>...

アラートを配信する 1 つ以上のチャネルの名前を指定します。

--clear-channelアラートを配信するチャネルの値をクリアします。

--add-channel<string>...

アラートを配信する 1 つ以上のチャネルの名前を追加します。

--remove-channel<string>...

アラートを配信する 1 つ以上のチャネルの名前を削除します。

--severity {emergency | critical | warning | information}



アラートで報告するイベントの重要度を指定します。重要度の値は大文字と小文字が区別されます。--severity の手順を繰り返して、その他の重大度レベルに関するアラートレポートを作成します。

--clear-severityアラートに対するすべての重大度のフィルターをクリアします。

--add-severity {emergency | critical | warning | information}

レポート対象となるアラートに対する別の重大度の値を追加します。--add-severity の手順を繰り返して、追加の重大度レベルに関するアラートレポートを作成します。

--remove-severity {emergency | critical | warning | information}

アラートが報告している重大度の値を削除します。--remove-severity の手順を繰り返して、アラートが報告しているその他の重大度レベルを削除します。

--condition {NEW | NEW_EVENTS | ONGOING | SEVERITY_INCREASE |SEVERITY_DECREASE | RESOLVED}

アラートが送信される条件を指定します。条件の値は大文字と小文字が区別されます。次の値が有効です。［NEW］

前に報告されたことのないイベントグループの発生に関してレポートします。

［NEW_EVENTS］イベントグループが最後に報告された以降の新しいイベントグループの発生に関してレポートします。

［ONGOING］解決されなかったイベントグループの発生に関する定期的なレポートを提供します。

［SEVERITY_INCREASE］イベントグループが最後に報告された以降に重大度が増加したイベントグループの発生に関してレポートします。

［SEVERITY_DECREASE］イベントグループが最後に報告された以降に重大度が低下したイベントグループの発生に関してレポートします。

［RESOLVED］イベントグループが最後に報告された以降に解決されたイベントグループの発生に関してレポートします。

--limit<integer>送信できるアラートの最大数を設定します。NEW_EVENTS アラート条件にのみ適用されます。

--interval<integer><time>継続的なアラートのレポート間の期間を設定します。ONGOING アラート条件にのみ適用されます。次の［<time>］値が有効です。Y



isi event alerts modify 185

M


W


D


H


m


s


--transient<integer><time>イベントグループの発生がレポートされる前に、それが存在していなければならない最短時間を設定します。継続する期間がこの時間よりも短い発生は一時的なものとみなされ、レポートされません。次の［<time>］値が有効です。Y


M


W


D


H


m


s


{--verbose | -v}


isi event alerts view

アラートの詳細を表示します。　



構文

isi event alerts view <id>

オプション<id>

アラート ID を指定します。

isi event channels create

新しいチャネルを作成します。

構文

isi event channels create <name> <type> [--enabled {true | false}] [--allowed-nodes <integer>] [--excluded-nodes <integer>] [--address <string>] [--send-as <string>] [--subject <string>] [--smtp-host <string>] [--smtp-port <integer>] [--smtp-use-auth <boolean>] [--smtp-username <string>] [--smtp-password <string>] [--smtp-security {STARTTLS | NONE}] [--batch {NONE | ALL | CATEGORY | SEVERITY}] [--batch-period <integer> <time>] [--host <string>] [--community <string>] [--verbose]


チャネル名を指定します。<type>

アラートが送信されるメカニズムを指定します。タイプの値は大文字と小文字が区別されます。次の値が有効です。［smtp］

アラートは SMTP サーバーを介してメールとして送信されます。

［snmp］アラートは SNMP を介して送信されます。

［connectemc］アラートは ConnectEMC を介して送信されます。

--enabled {true | false}

チャネルが有効であるかどうかを指定します。

--allowed-nodes<integer>...


isi event channels create 187

チャネル経由でアラートを送信できる 1 つ以上のノードを指定します。許可されているノードを指定しない場合、クラスター内のすべてのノードがアラートの送信を許可されます。<integer>の値は許可するノード番号です。

--excluded-nodes<integer>...

チャネル経由でアラートを送信できない 1 つ以上のノードを指定します。<integer>の値は除外するノード番号です。

--address<string>...

SMTP チャネルの場合のみ。このチャネルに関するアラートを受信する 1 つ以上のメールアドレスを指定します。<string>の値はメールアドレスです。

--send-as<string>SMTP チャネルの場合のみ。このチャネルに関するアラートを送信するメールアドレスを指定します。<string>の値はメールアドレスです。

--subject<string>SMTP チャネルの場合のみ。このチャネルに関して送信されるメールの件名を指定します。

--smtp-host<string>SMTP チャネルの場合のみ。SMTP リレーホストを指定します。

--smtp-port<integer>SMTP チャネルの場合のみ。SMTP リレーポートを指定します。

--smtp-use-auth {true | false}

SMTP チャネルの場合のみ。SMTP認証を有効化または無効化します。

--smtp-username<string>SMTP チャネルの場合のみ。SMTP認証のユーザー名を指定します。

--smtp-password<string>SMTP チャネルの場合のみ。SMTP認証のパスワードを指定します。

--smtp-security {STARTTLS | NONE}

SMTP チャネルの場合のみ。SMTP暗号化を有効化または無効化します。

--batch {NONE | ALL | CATEGORY | SEVERITY}

SMTP チャネルの場合のみ。SMTP アラートをバッチ処理する方法を指定します。

--batch-period <integer> <time>

SMTP チャネルの場合のみ。アラートをバッチ処理する間隔を指定します。次の［<time>］値が有効です。Y


M


W


D




H


m


s


--host<string>SNMP チャネルの場合のみ。ホスト名またはアドレスを指定します。

--community<string>SNMP チャネルの場合のみ。コミュニティ文字列を指定します。

{--verbose | -v}


isi event channels delete

チャネルを削除します。

構文

isi event channels delete <name> [--force] [--verbose]


削除するチャネルの名前を指定します。

{--force | -f}

確認を行わずにチャネルを削除します。

{--verbose | -v}



チャネルのリストを表示します。

構文

isi event channels list <id> [--limit <integer>] [--sort {id | name | type | enabled | allowed_nodes | excluded_node | address | send_as | subject | smtp_host | smtp_port | smtp_use_auth | smtp_username | smtp_password | smtp_security | batch | batch_period | host | community} [--descending] [--format {table | json | csv | list}]


isi event channels delete 189

[--no-header] [--no-footer] [--verbose]

オプション{--limit | -l} <integer>

表示するチャネルの最大数を設定します。

--sort {id | name | type | enabled | allowed_nodes | excluded_nodes |address | send_as | subject | smtp_host | smtp_port | smtp_use_auth |smtp_username | smtp_password | smtp_security | batch | batch_period| host | community}


{--descending | -d}




{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi event channels modify

チャネルを変更します。

構文

isi event channels <name> [--type {smtp | snmp | connectemc}] [--enabled {true | false}] [--allowed-nodes <integer>] [--clear-allowed-nodes] [--add-allowed-nodes <integer>] [--remove-allowed-nodes <integer>] [--excluded-nodes <integer>] [--clear-excluded-nodes] [--add-excluded-nodes <integer>] [--remove-excluded-nodes <integer>] [--address <string>] [--clear-address] [--add-address <string>] [--remove-address <string>] [--send-as <string>] [--subject <string>] [--smtp-host <string>] [--smtp-port <integer>] [--smtp-use-auth <boolean>] [--smtp-username <string>]



[--smtp-password <string>] [--smtp-security {STARTTLS | NONE}] [--batch {NONE | ALL | CATEGORY | SEVERITY}] [--batch-period <integer> <time>] [--host <string>] [--community <string>>] [--verbose]


変更するチャネルの名前を指定します。<type>

アラートが送信されるメカニズムを指定します。タイプの値は大文字と小文字が区別されます。次の値が有効です。［smtp］

アラートは SMTP サーバーを介してメールとして送信されます。

［snmp］アラートは SNMP を介して送信されます。

［connectemc］アラートは ConnectEMC を介して送信されます。


チャネルが有効であるかどうかを指定します。

--allowed-nodes<integer>...

チャネル経由でアラートを送信できる 1 つ以上のノードを指定します。許可されているノードを指定しない場合、クラスター内のすべてのノードがアラートの送信を許可されます。<integer>の値は許可するノード番号です。

--clear-allowed-nodes許可されているノードのすべての値をクリアします。

--add-allowed-nodes<integer>...

許可されているノードのリストに 1 つ以上のノードを追加します。<integer>の値は許可するノード番号です。

--remove-allowed-nodes<integer>...

許可されているノードのリストから 1 つ以上のノードを削除します。<integer>の値は削除するノード番号です。

--excluded-nodes<integer>...

チャネル経由でアラートを送信できない 1 つ以上のノードを指定します。<integer>の値は除外するノード番号です。

--clear-excluded-nodes除外されたノードのすべての値をクリアします。

--add-excluded-nodes<integer>...


isi event channels modify 191

除外されたノードのリストに 1 つ以上のノードを追加します。<integer>の値は除外するノード番号です。

--remove-excluded-nodes<integer>...

除外されたノードのリストから 1 つ以上のノードを削除します。<integer>の値は削除するノード番号です。

--address<string>...

SMTP チャネルの場合のみ。このチャネルに関するアラートを受信する 1 つ以上のメールアドレスを指定します。<string>の値はメールアドレスです。

--clear-addressSMTP チャネルの場合のみ。メールアドレスのすべての値をクリアします。

--add-address<string>...

SMTP チャネルの場合のみ。このチャネルのアラートの配布リストに追加する 1 つ以上のメールアドレスを指定します。<string>の値はメールアドレスです。

--remove-address<string>...

SMTP チャネルの場合のみ。このチャネルのアラートの配布リストから削除する 1 つ以上のメールアドレスを指定します。<string>の値はメールアドレスです。

--send-as<string>SMTP チャネルの場合のみ。このチャネルに関するアラートを送信するメールアドレスを指定します。<string>の値はメールアドレスです。

--subject<string>SMTP チャネルの場合のみ。このチャネルに関して送信されるメールの件名を指定します。

--smtp-host<string>SMTP チャネルの場合のみ。SMTP リレーホストを指定します。

--smtp-port<integer>SMTP チャネルの場合のみ。SMTP リレーポートを指定します。

--smtp-use-auth {true | false}

SMTP チャネルの場合のみ。SMTP認証を有効化または無効化します。

--smtp-username<string>SMTP チャネルの場合のみ。SMTP認証のユーザー名を指定します。

--smtp-password<string>SMTP チャネルの場合のみ。SMTP認証のパスワードを指定します。

--smtp-security {STARTTLS | NONE}

SMTP チャネルの場合のみ。SMTP暗号化を有効化または無効化します。

--batch {NONE | ALL | CATEGORY | SEVERITY}

SMTP チャネルの場合のみ。SMTP アラートをバッチ処理する方法を指定します。

--batch-period <integer> <time>

SMTP チャネルの場合のみ。アラートをバッチ処理する間隔を指定します。次の［<time>］値が有効です。



Y


M


W


D


H


m


s


--host<string>SNMP チャネルの場合のみ。ホスト名またはアドレスを指定します。

--community<string>SNMP チャネルの場合のみ。コミュニティ文字列を指定します。

{--verbose | -v}


isi event channels view

チャネルの詳細を表示します。

構文

isi event channels view <name>


表示するチャネルの名前を指定します。

isi event events list

すべてのイベントを表示します。

構文

isi event events list [--eventgroup-id <name>] [--format {table | json | csv | list}] [--no-header]


isi event channels view 193

[--no-footer] [--verbose]

オプション--eventgroup-id<name>

指定したイベントグループに含まれているイベントを表示します。



{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi event events view

イベントの詳細を表示します。

構文

isi event events view <id>

オプション<id>

表示するイベントのインスタンス ID を指定します。

isi event groups bulk

すべてのイベントグループのステータスを変更します。

構文

isi event groups bulk [--ignore {true | false}] [--resolved {true | false}] [--verbose]

オプション--ignore {true | false}

すべてのイベントグループが無視ステータスであるかどうかを指定します。

--resolved {true | false}

すべてのイベントグループが解決済みステータスであるかどうかを指定します。



イベントグループを解決したら、そのアクションを元に戻すことはできません。解決済みイベントグループに追加された新しいイベントは、新しいイベントグループに追加されます。

{--verbose | -v}



すべてのイベントグループのリストを表示します。

構文

isi event groups list [--begin <timestamp>] [--end <timestamp>] [--resolved {true | false}] [--ignore {true | false}] [--events <integer>] [--cause <string>] [--limit <integer>] [--sort {id | started | causes_long | last_event | ignore | ignore_time | resolved | ended | events | severity} [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプション{--begin | -b} <timestamp>

指定した日付と時刻より後に作成されたイベントグループのみを表示するようにリストをフィルターします。［<timestamp>］は次の形式で指定します。

{--end | -e} <timestamp>

［<yyyy>］-［<mm>］-［<dd>］[T［<HH>］:［<MM>］[:［<SS>］]]

指定した日付と時刻より前に作成されたイベントグループのみを表示するようにリストをフィルターします。［<timestamp>］は次の形式で指定します。



解決済みイベントグループのみ、または解決されていないイベントグループのみをリストに表示するかどうかを指定します。

--ignore {true | false}

無視されたイベントグループのみ、または無視されていないイベントグループのみをリストに表示するかどうかを指定します。


isi event groups list 195

--events<integer>イベントグループに対して記録された指定イベント数を含むイベントグループのみを表示するようにリストをフィルターします。

--cause<string>指定した原因を持つイベントグループのみを表示するようにリストをフィルターします。

{--limit | -l} <integer>表示するイベントグループの最大数を設定します。

--sort {id | started | causes_long | last_event | ignore | ignore_time| resolved | ended | events | severity}


{--descending | -d}




{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi event groups modify

イベントグループのステータスを変更します。

構文

isi event <id> [--ignore {true | false}] [--resolved {true | false}] [--verbose]

オプション<id>

変更するイベントグループの ID番号を指定します。


イベントグループのステータスが無視であるかどうかを指定します。


イベントグループのステータスが解決済みであるかどうかを指定します。イベントグループを解決したら、そのアクションを元に戻すことはできません。解決済みイベントグループに追加された新しいイベントは、新しいイベントグループに追加されます。



{--verbose | -v}


isi event groups view

イベントグループの詳細を表示します。

構文

isi event groups view <id>

オプション<id>

表示するイベントグループの ID番号を指定します。

isi event settings modify

イベントストレージ設定を構成します。

構文

isi event settings modify [--retention-days <integer>] [--storage-limit <integer>] [--maintenance-start <timestamp>] [--clear-maintenance-start] [--maintenance-duration <duration>] [--heartbeat-interval <string>] [--verbose]

オプション{--retention-days | -r} <integer>

解決済みイベントグループデータを日数単位で保存します。

{--storage-limit | -s} <integer>クラスター上でイベントデータが占有できるメモリの量を設定します。この制限を 1～100 メガバイトのメモリ量になるように設定できます。小規模のクラスター場合、別途確保されている最小メモリ量は 1 ギガバイトです。

--maintenance-start<timestamp>メンテナンスウィンドウの開始日時を設定します。［<timestamp>］は次の形式で指定します。


--clear-maintenance-startメンテナンスウィンドウの開始日時の値をクリアします。

--maintenance-duration<integer><time>メンテナンスウィンドウの期間を設定します。次の［<time>］値が有効です。


isi event groups view 197

Y


M


W


D


H


m


s


--heartbeat-interval<string>ハートビートイベントの間隔を設定します。次の［<time>］値が有効です。l dailyl weekly

l monthly

{--verbose | -v}


isi event settings view

イベントストレージ設定を表示します。

構文

isi event settings view

isi event test create

テストアラートを作成します。

構文

isi event test create <message>[--verbose]

オプション<message>

テストアラートのメッセージテキストを指定します。



{--verbose | -v}


ハードウェアコマンドハードウェアコマンドを使用すると、クラスターハードウェア（特定のノードコンポーネントなど）のステータスを調べることができます。ほとんどのハードウェアコマンドは、IsilonSD Edge には適用されません。

isi batterystatus list

各バッテリーのステータスとともに、ノード別のクラスター内のバッテリーの一覧を表示します。

構文

isi batterystatus list[--format {table | json | csv | list}][--no-header][--no-footer][--verbose]

オプション--format {table | json | csv | list}


{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi batterystatus view

ノードのバッテリーのステータスを表示します。

構文

isi batterystatus view <id>

オプション--node-lnn<integer>

表示するノードを指定します。省略すると、ローカルノードのバッテリーステータスが表示されます。


ハードウェアコマンド 199

isi devices add

デフォルト値は isi devices drive add です。使用可能なドライブをスキャンし、ドライブをノードに追加します。

isi devices node add コマンドを実行して、クラスターに使用可能なノードを追加できます。

構文

isi devices add <bay>[--node-lnn <integer>][--force][--verbose]

オプション{<bay> | all}

ノードに追加するドライブを含むベイ番号を指定します。all を指定して、ノード全体をスキャンすることができます。

--node-lnn<integer>新しいドライブをスキャンするノード番号を指定します。省略すると、ローカルノードがスキャンされます。

{--force | -f}

確認を行わずにドライブ（複数可）を追加します。

{--verbose | -v}


isi devices drive add

使用可能なドライブをスキャンし、ドライブをノードに追加します。

構文

isi devices drive add <bay>[--node-lnn <integer>][--force][--verbose]


ノードに追加するドライブを含むベイ番号を指定します。all を指定して、ノード全体をスキャンすることができます。

--node-lnn<integer>新しいドライブをスキャンするノード番号を指定します。省略すると、ローカルノードがスキャンされます。



{--force | -f}

確認を行わずにドライブ（複数可）を追加します。

{--verbose | -v}


isi devices drive firmware list

ノード内のデータドライブのファームウェア詳細のリストを表示します。

構文

isi devices drive firmware list[--node-lnn <string>][--summary] [--format {table | json | csv | list}][--no-header][--no-footer][--verbose]

オプション--node-lnn {all | <integer>}

ファームウェア情報を表示するドライブのノード番号を指定します。すべてのノードを指定することができます。省略すると、ローカルノードのドライブファームウェアの情報のみが表示されます。

{ --summary | -s}

モデルおよびリビジョン別ドライブファームウェア数のサマリーを表示します。



{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi devices drive firmware update list

クラスター上のファームウェア更新のステータスを表示します。

構文

isi devices drive firmware update list[--format {table | json | csv | list}][--no-header][--no-footer][--verbose]


isi devices drive firmware list 201



{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi devices drive firmware update start

ノード内の 1 つ以上のドライブのファームウェアを更新します。

構文

isi devices drive firmware update start <bay>[--node-lnn <integer>][--force][--verbose]


更新するドライブを含むベイ番号を指定します。all を指定して、ノード内のすべてのドライブを更新できます。

--node-lnn<integer>ドライブを更新するノード番号を指定します。省略すると、ローカルノードのドライブが更新されます。

{--force | -f}

確認を行わずにドライブ（複数可）を更新します。

{--verbose | -v}


isi devices drive firmware update view

ノードのドライブファームウェアの更新に関する情報を表示します。

構文

isi devices drive firmware update view [--node-lnn <integer>]




表示するファームウェアの更新を実行するノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードのファームウェア更新ステータスが表示されます。

isi devices drive firmware view

1台のドライブ上のファームウェアに関する情報を表示します。

構文

isi devices drive firmware view {<bay> | --lnum <integer>}[--node-lnn <integer>]

オプション{<bay> | --lnum<integer>}

表示するドライブのベイ番号または LNUM（論理ドライブ番号）を指定します。

--node-lnn<integer>表示するドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードのドライブが表示されます。

isi devices drive format

ノードに追加できるようにドライブを書式設定します。

構文

isi devices drive format <bay>[--node-lnn <integer>][--purpose <string>][--force][--verbose]

オプション<bay>

書式設定するドライブを含むベイ番号を指定します。--node-lnn<integer>

書式設定するドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで指定したドライブが書式設定されます。

--purpose<string>新しいドライブに割り当てる目的を指定します。isi devices drive purposelistを実行して、可能なドライブの目的のリストを表示します。省略すると、OneFSは自動的にドライブの目的を割り当てます。

{--force | -f}

確認を行わずにドライブを書式設定します。

{--verbose | -v}



isi devices drive firmware view 203

isi devices drive list

ノード内のデータドライブのリストを表示します。

構文

isi devices drive list[--node-lnn <string>][--override] [--format {table | json | csv | list}][--no-header][--no-footer][--verbose]


表示するドライブのノード番号を指定します。すべてのノードを指定することができます。省略すると、ローカルノードのドライブのみが表示されます。

{ --override | -V}

グリッド値の代わりに従来のベイ番号を表示します。



{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi devices drive purpose

ドライブに用途を割り当てます。たとえば、ドライブを通常のデータストレージ操作用に指定したり、ドライブをストレージではなく L3 キャッシュ用に指定したりできます。

構文

isi devices drive purpose {<bay> | --lnum <integer>} --purpose<string>

[--node-lnn <integer>][--force][--verbose]


割り当てるドライブのベイ番号または LNUM（論理ドライブ番号）を指定します。

--purpose<string>



ドライブに割り当てる目的を指定します。isi devices drive purposelist を実行して、考えられるドライブの目的のリストを表示します。

--node-lnn<integer>割り当てるドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで指定したドライブが割り当てられます。

{--force | -f}


{--verbose | -v}


isi devices drive purposelist

ドライブの考えられる用途のリストを表示します。たとえば、ドライブを通常のデータストレージ操作用に指定したり、ドライブをストレージではなく L3 キャッシュ用に指定したりできます。

構文

isi devices drive purposelist[--node-lnn <integer>][--format {table | json | csv | list}][--no-header][--no-footer]


目的のリストを表示するノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードの目的のリストが表示されます。



{ --no-header | -a}


{ --no-footer | -z}


isi devices drive smartfail

ドライブの Smartfail を実行して、ノードからドライブを削除できるようにします。

構文

isi devices drive smartfail {<bay> | --lnum <integer>}[--node-lnn <integer>][--force][--verbose]


isi devices drive purposelist 205


Smartfail を実行するドライブのベイ番号または LNUM（論理ドライブ番号）を指定します。

--node-lnn<integer>Smartfail を実行するドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで指定したドライブで Smartfail が実行されます。

{--force | -f}

確認を行わずにドライブの Smartfail を実行します。

{--verbose | -v}


isi devices drive stopfail

ドライブ上の Smartfail処理を中止します。

構文

isi devices drive stopfail {<bay> | --lnum <integer>}[--node-lnn <integer>][--force][--verbose]


Smartfail を中止するドライブのベイ番号または LNUM（論理ドライブ番号）を指定します。

--node-lnn<integer>Smartfail を中止するドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで指定したドライブは Smartfail を中止します。

{--force | -f}

確認を行わずにドライブの Smartfail を中止します。

{--verbose | -v}


isi devices drive suspend

ドライブのすべてのアクティビティを一時的に中断します。

構文

isi devices drive suspend {<bay> | --lnum <integer>}[--node-lnn <integer>][--force][--verbose]




一時停止するドライブのベイ番号または LNUM（論理ドライブ番号）を指定します。

--node-lnn<integer>一時停止するドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで指定したドライブが一時停止されます。

{--force | -f}


{--verbose | -v}


isi devices drive view

1台のドライブに関する情報を表示します。

構文

isi devices drive view {<bay> | --lnum <integer>}[--node-lnn <integer>]




isi devices firmware list

デフォルト値は isi devices drive firmware list です。ノード内のデータドライブのファームウェア詳細のリストを表示します。

構文

isi devices firmware list[--node-lnn <string>][--summary] [--format {table | json | csv | list}][--no-header][--no-footer][--verbose]


ファームウェア情報を表示するドライブのノード番号を指定します。すべてのノードを指定することができます。省略すると、ローカルノードのドライブファームウェアの情報のみが表示されます。

{ --summary | -s}

モデルおよびリビジョン別ドライブファームウェア数のサマリーを表示します。



isi devices drive view 207


{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi devices firmware update list

デフォルト値は isi devices drive firmware update list です。クラスター上のドライブファームウェア更新のステータスを表示します。

構文

isi devices firmware update list [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]



{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi devices firmware update start

デフォルト値は isi devices drive firmware update start です。ノード内の 1 つ以上のドライブのファームウェアを更新します。

構文

isi devices firmware update start <bay> [--node-lnn <integer>] [--force] [--verbose]




更新するドライブを含むベイ番号を指定します。all を指定して、ノード内のすべてのドライブを更新できます。

--node-lnn<integer>ドライブを更新するノード番号を指定します。省略すると、ローカルノードのドライブが更新されます。

{--force | -f}

確認を行わずにドライブ（複数可）を更新します。

{--verbose | -v}


isi devices firmware update view

デフォルト値は isi devices drive firmware update view です。ノードのドライブファームウェアの更新に関する情報を表示します。

構文

isi devices firmware update view [--node-lnn <integer>]


表示するファームウェアの更新を実行するノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードのファームウェア更新ステータスが表示されます。

isi devices firmware view

デフォルト値は isi devices drive firmware view です。1台のドライブ上のファームウェアに関する情報を表示します。

構文

isi devices firmware view {<bay> | --lnum <integer>} [--node-lnn <integer>]




isi devices format

デフォルト値は isi devices drive format です。ノードに追加できるようにドライブを書式設定します。


isi devices firmware update view 209

構文

isi devices format <bay> [--node-lnn <integer>] [--purpose <string>] [--force] [--verbose]

オプション<bay>

書式設定するドライブを含むベイ番号を指定します。--node-lnn<integer>

書式設定するドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで指定したドライブが書式設定されます。

--purpose<string>新しいドライブに割り当てる目的を指定します。isi devices drive purposelistを実行して、可能なドライブの目的のリストを表示できます。省略すると、OneFSは自動的にドライブの目的を割り当てます。

{--force | -f}


{--verbose | -v}


isi devices list

デフォルト値は isi devices drive list です。ノード内のデータドライブのリストを表示します。

isi devices node list コマンドを実行して、クラスターに参加するために使用可能なノードを表示することができます。

構文

isi devices list [--node-lnn <string>] [--override] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]


表示するドライブのノード番号を指定します。すべてのノードを指定することができます。省略すると、ローカルノードのドライブのみが表示されます。

{ --override | -V}



グリッド値の代わりに従来のベイ番号を表示します。



{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi devices node add

使用可能なノードをクラスターに参加させます。

構文

isi devices node add <serial-number> [--force] [--verbose]

オプション<serial-number>

クラスターに追加するノードのシリアル番号を指定します。

{--force | -f}

確認を行わずにクラスターにノードを追加します。

{--verbose | -v}


isi devices node list

クラスターに参加するために使用可能なノードのリストを表示します。

構文

isi devices node list [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]



{ --no-header | -a}


isi devices node add 211


{ --no-footer | -z}


{--verbose | -v}


isi devices node smartfail

ノードの Smartfail を実行し、クラスターから削除します。

構文

isi devices node smartfail [--node-lnn <integer>] [--force] [--verbose]


Smartfail を実行するノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで Smartfail が実行されます。

{--force | -f}


{--verbose | -v}


isi devices node stopfail

ノード上の Smartfail処理を中止します。

構文

isi devices node stopfail [--node-lnn <integer>] [--force] [--verbose]


Smartfail を中止するノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで Smartfail を中止します。

{--force | -f}


{--verbose | -v}




isi devices purpose

デフォルト値は isi devices drive purpose です。用途をドライブに割り当てます。たとえば、ドライブを通常のデータストレージ操作用に指定したり、ドライブをストレージではなく L3 キャッシュ用に指定したりできます。

構文

isi devices purpose {<bay> | --lnum <integer>} --purpose <string> [--node-lnn <integer>] [--force] [--verbose]


割り当てるドライブのベイ番号または LNUM（論理ドライブ番号）を指定します。

--purpose<string>ドライブに割り当てる目的を指定します。isi devices drive purposelist を実行して、考えられるドライブの目的のリストを表示できます。

--node-lnn<integer>割り当てるドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで指定したドライブが割り当てられます。

{--force | -f}


{--verbose | -v}


isi devices purposelist

デフォルト値は isi devices drive purposelist です。ドライブの考えられる用途のリストを表示します。たとえば、ドライブを通常のデータストレージ操作用に指定したり、ドライブをストレージではなく L3 キャッシュ用に指定したりできます。

構文

isi devices purposelist [--node-lnn <integer>] [--format {table | json | csv | list}] [--no-header] [--no-footer]


目的のリストを表示するノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードの目的のリストが表示されます。



isi devices purpose 213


{ --no-header | -a}


{ --no-footer | -z}


isi devices smartfail

デフォルト値は isi devices drive smartfail です。ドライブの Smartfail を実行して、ノードからドライブを削除できるようにします。

isi devices node smartfail コマンドを実行して、ノードの Smartfail を実行することができます。

構文

isi devices smartfail {<bay> | --lnum <integer>} [--node-lnn <integer>] [--force] [--verbose]


Smartfail を実行するドライブのベイ番号または LNUM（論理ドライブ番号）を指定します。

--node-lnn<integer>Smartfail を実行するドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで指定したドライブで Smartfail が実行されます。

{--force | -f}


{--verbose | -v}


isi devices stopfail

デフォルト値は isi devices drive stopfail です。ドライブ上の Smartfail処理を中止します。

isi devices node stopfail コマンドを実行して、ノードの Smartfail処理を中止することができます。



構文

isi devices stopfail {<bay> | --lnum <integer>} [--node-lnn <integer>] [--force] [--verbose]


Smartfail を中止するドライブのベイ番号または LNUM（論理ドライブ番号）を指定します。

--node-lnn<integer>Smartfail を中止するドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで指定したドライブは Smartfail を中止します。

{--force | -f}


{--verbose | -v}


isi devices suspend

デフォルト値は isi devices drive suspend です。ドライブのすべてのアクティビティを一時的に中断します。

構文

isi devices suspend {<bay> | --lnum <integer>} [--node-lnn <integer>] [--force] [--verbose]


一時停止するドライブのベイ番号または LNUM（論理ドライブ番号）を指定します。

--node-lnn<integer>一時停止するドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードで指定したドライブが一時停止されます。

{--force | -f}


{--verbose | -v}


isi devices view

デフォルト値は isi devices drive view です。1台のドライブに関する情報を表示します。


isi devices suspend 215

構文

isi devices view {<bay> | -lnum <integer>}[--node-lnn <integer>]



--node-lnn<integer>表示するドライブを含むノードの LNN（論理ノード番号）を指定します。省略すると、ローカルノードでドライブが表示されます。

isi readonly list

ノード別の読み取り専用ステータスのリストを表示します。

構文

isi readonly list[--format {table | json | csv | list}][--no-header][--no-footer][--verbose]



{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi readonly modify

ノードの読み取り専用ステータスを変更します。

構文

isi readonly modify[--allowed <boolean>][--enabled <boolean>][--node-lnn <string>][--verbose]



オプション--allowed<boolean>

ノードに許可された現在の読み取り専用モードのステータスを変更します。--enabled<boolean>

ノードの現在の読み取り専用ユーザーモードのステータスを変更します。

このパラメーターは、ユーザーによる読み取り専用モードの要求だけを設定します。読み取り専用モードが許可されていない場合は、読み取り専用モードが許可されるまで、ノードは読み取り/書き込みのままになります。ノードが OneFS によって読み取り専用モードに設定された場合は、読み取り専用モードの契機となった条件が解消されるまで、読み取り専用モードが維持されます。

--node-lnn {all | <integer>}

読み取り専用ステータスを変更するノードを指定します。すべてのノードを指定することができます。省略すると、ローカルノードのみが変更されます。

{--verbose | -v}


isi readonly view

ノードの読み取り専用ステータスを表示します。

構文

isi readonly view[--node-lnn <integer>]


表示するノードを指定します。省略すると、ローカルノードの読み取り専用ステータスが表示されます。

isi servicelight list

ノード別のクラスター内のサービス LED のリストを、各サービス LED のステータスとともに表示します。

構文

isi servicelight list[--format {table | json | csv | list}][--no-header][--no-footer][--verbose]



isi readonly view 217


{ --no-header | -a}


{ --no-footer | -z}


{--verbose | -v}


isi servicelight modify

ノードのサービス LED をオンまたはオフにします。

構文

isi servicelight modify [--enabled <boolean>] [--node-lnn <integer>] [--verbose]

オプション--enabled<boolean>

ノードのサービス LED を有効または無効にします。

--node-lnn<integer>サービスライトのステータスを変更するノードを指定します。省略すると、ローカルノードが使用されます。

{--verbose | -v}


isi servicelight view

ノードのサービス LED のステータスを表示します。

構文

isi servicelight view [--node-lnn <integer>]


表示するノードを指定します。省略すると、ローカルノードのサービス LED のステータスが表示されます。



第 5 章

アクセスゾーン


l アクセスゾーンの概要 ......................................................................................... 220l ベースディレクトリのガイドライン..............................................................................220l アクセスゾーンのベストプラクティス..........................................................................221l SyncIQ セカンダリクラスタ上のアクセスゾーン..........................................................222l アクセスゾーンの制限.......................................................................................... 222l サービス品質...................................................................................................... 222l アクセスゾーンの管理.......................................................................................... 223l アクセスゾーンコマンド......................................................................................... 226

アクセスゾーン 219

アクセスゾーンの概要EMC Isilon クラスターのデフォルト表示は 1台の物理マシンですが、クラスターをアクセスゾーンと呼ばれる複数の仮想コンテナーに区分化できます。アクセスゾーンにより、データを分離し、各ゾーンのデータに誰がアクセスできるかを制御できます。アクセスゾーンはクラスター上の認証サービスや ID管理サービスの構成設定をすべてサポートするため、ゾーンごとに認証プロバイダーの構成や SMB共有および NFS エクスポートなどのプロトコルディレクトリのプロビジョニングを行うことができます。アクセスゾーンを作成すると、ローカルプロバイダーが自動的に作成されるため、ローカルユーザーとグループのリストを使用して各アクセスゾーンを構成できます。また、各アクセスゾーンで異なる認証プロバイダーを通じて認証できます。データへのアクセスを制御するには、DNS クライアント接続の設定を管理し、サブネットと IP アドレスプールが含まれている最上位レベルのネットワークコンテナーであるグループネットにアクセスゾーンを関連づけます。アクセスゾーンを作成する場合は、グループネットを指定する必要があります。グループネットが指定されていない場合、アクセスゾーンはデフォルトのグループネットを参照します。複数のアクセスゾーンが 1 つのグループネットを参照できます。アクセスゾーンへの受信接続をグループネット内の特定の IP アドレスプールに渡すことができます。アクセスゾーンと IP アドレスプールを関連づけると、関連づけられたアクセスゾーンへの認証が制限され、使用可能でアクセス可能なSMB共有および NFS エクスポートの数が減少します。複数のアクセスゾーンの利点は、個々のアクセスゾーンの監査プロトコルアクセスを構成できることです。成功および失敗したプロトコルの監査イベントのデフォルトリストを編集し、個々のアクセスゾーンについてサードパーティのツールを使用してレポートを生成できます。クラスターには System と呼ばれる組み込み型のアクセスゾーンがあり、ここでクラスターのあらゆる側面や別のアクセスゾーンを管理します。デフォルトで、すべてのクラスター IP アドレスは Systemゾーンに接続されます。主に構成操作を処理する役割に基づいたアクセスは、System ゾーンからのみ使用できます。すべての管理者（役割によって権限が与えられた場合も含む）は、クラスターを構成するために System ゾーンに接続する必要があります。システムゾーンは、クラスター上のデフォルトグループネット（groupnet0）を参照するように自動的に構成されます。System以外のアクセスゾーンの構成管理は、SSH、OneFS Platform API、Web管理インターフェイスを通じて行うことは許可されていません。ただし、アクセスゾーンの SMB共有はMMC（Microsoft管理コンソール）を使用して作成および削除できます。

ベースディレクトリのガイドラインベースディレクトリは、アクセスゾーンによって公開されるファイルシステムツリーを定義します。アクセスゾーンは、ベースディレクトリの外部にあるファイルへのアクセスを許可することはできません。各アクセスゾーンにベースディレクトリを割り当てる必要があります。ベースディレクトリは、SMB共有、NFS エクスポート、HDFS ルートディレクトリ、ローカルプロバイダーのホームディレクトリテンプレートなどの複数の機能のパスオプションを制限します。デフォルトのSystem アクセスゾーンのベースディレクトリは/ifs で、変更できません。アクセスゾーン内でデータを分離するためには、システムアクセスゾーンを除き、他のベースディレクトリと同一でなく重複もしていない一意のベースディレクトリパスを作成することを推奨します。たとえば、アクセスゾーン zone2 と zone3 の両方のベースディレクトリとして、/ifs/data/hr を指定しないでください。または、/ifs/data/hr を zone2 に割り当てる場合は、/ifs/data/hr/personnel を zone3 に割り当てないでください。OneFSは、ワークフローが共有データを必要とする場合のアクセスゾーン間でのデータの重複をサポートします。ただし、アクセスゾーンの構成が複雑になり、将来クライアントアクセスの問題につな



がる可能性があります。アクセスゾーン間でのデータの重複による最良の結果を得るために、EMCでは、アクセスゾーンで同一の認証プロバイダーを共有することも推奨します。プロバイダーを共有すると、ユーザーが異なるアクセスゾーンから同じデータにアクセスするときに整合性のとれた識別情報が得られます。データを共有するアクセスゾーン間で同一の認証プロバイダーを構成できない場合、EMCは次のベストプラクティスを推奨します。l 各アクセスゾーンで認証プロバイダーとして Active Directory を選択します。これによりファイル

がグローバルで一意な SID をオンディスク ID として保存するため、別ゾーンのユーザーが互いのデータへのアクセスを取得する可能性が排除されます。

l アクセスゾーンの認証プロバイダーとして、ローカル、LDAP、NIS を選択しないでください。これらの認証プロバイダーでは UID および GID を使用しますが、これらはグローバルに一意になることが保証されません。したがって、異なるゾーンからのユーザーが互いのデータにアクセスできる可能性が高くなります。

l オンディスク ID をネイティブに設定するか、または可能な場合には SID に設定します。ActiveDirectory と UNIX ユーザー間のユーザーマッピングが存在する場合、または ActiveDirectory プロバイダーの［Services for Unix］オプションが有効である場合、OneFSは SID を UID ではなくオンディスク ID として保存します。

アクセスゾーンのベストプラクティス次のベストプラクティスガイドラインに従って、アクセスゾーンを作成する際の EMC Isilon クラスター上の構成の問題を回避できます。

ベストプラクティス詳細

一意のベースディレクトリを作成する。データを分離する場合は、各アクセスゾーンのベースディレクトリパスは一意である必要があり、他のアクセスゾーンのベースディレクトリ内部に重複または入れ子にできない。重複を許可する場合も、ワークフローが共有データを必要とする場合にのみ使用するようにする。

System ゾーンの機能を他のアクセスゾーンから分離する。

構成アクセス用の System ゾーンを確保し、データアクセス用に追加のゾーンを作成します。System ゾーンから新しいアクセスゾーンに現在のデータを移動します。

アクセスゾーンを作成して、異なるクライアントまたはユーザーのデータアクセスを分離する。

ワークフローで異なるクラスのクライアントまたはユーザー間でデータを共有する必要がある場合は、アクセスゾーンを作成しない。

各アクセスゾーンに各タイプの認証プロバイダーを 1

つのみ割り当てる。アクセスゾーンは、単一の Active Directory プロバイダーに制限されるが、OneFS では各アクセスゾーンで複数の LDAP、NIS、ファイル認証プロバイダーが許可される。管理を簡単にするために、アクセスゾーンごとに各プロバイダーのタイプを 1 つのみ割り当てることをお勧めします。

同じアクセスゾーン内の認証プロバイダーに対して重複する UID または GID範囲を回避する。

ゾーンアクセスの競合の可能性はわずかだが、重複する UID/GID が同じアクセスゾーンに存在する場合はその可能性がある。


アクセスゾーンのベストプラクティス 221

SyncIQ セカンダリクラスタ上のアクセスゾーンバックアップおよびディザスタリカバリに使用するアクセスゾーンを、一定の制限付きで、SyncIQ セカンダリクラスタ上に作成することができます。アクティブな SyncIQ ライセンスがあれば、プライマリサーバをオフラインにする必要がある場合に、バックアップおよびフェールオーバーの目的でセカンダリ Isilon クラスタを管理することができます。プライマリサーバでレプリケーションジョブを実行すると、ファイルデータがバックアップサーバにレプリケートされます。この時、ディレクトリパスなどのファイル関連メタデータもレプリケートされます。ただし、アクセスゾーンなどのシステム構成設定は、セカンダリサーバにレプリケートされません。フェールオーバーのシナリオでは、プライマリクラスタとセカンダリクラスタの構成設定は、同一ではなくとも類似したものにする必要があります。アクセスゾーンを使用する場合を含め、ほとんどの場合、SyncIQ レプリケーションジョブを実行する前にシステム設定を構成することをお勧めします。これは、レプリケーションジョブでは、ターゲットディレクトリが読み取り専用モードになるためです。ベースディレクトリがすでに読み取り専用モードになっているアクセスゾーンを作成しようとすると、OneFSはこれを阻止してエラーメッセージを生成します。

アクセスゾーンの制限アクセスゾーン制限のガイドラインに従って、OneFS システム上のワークロードをサイズ変更できます。EMC Isilon クラスタに複数のアクセスゾーンを構成する場合は、最高のシステムパフォーマンスを得るために制限のガイドラインに従うことをお勧めします。EMC Isilon OneFS 8.0.0 and IsilonSDEdge Technical Specifications Guide で説明する制限は、クラスタ上の負荷の高いエンタープライズワークフローに対する推奨であり、各アクセスゾーンを異なる物理マシンとして扱います。

サービス品質特定の物理リソースを各アクセスゾーンに割り当てることで、サービス品質の上限を設定できます。

サービス品質は、測定、改善、そして場合によって保証できる物理的なハードウェアパフォーマンス特性に対処します。サービス品質に対して測定される特性には、スループット率、CPU使用率、ディスク容量などがあります（これらに限定されません）。EMC Isilon クラスター内の物理ハードウェアを複数の仮想インスタンスで共有する場合、次のサービスで競合が発生します。l CPU

l メモリl ネットワークの帯域幅l ディスク I/O

l ディスク容量アクセスゾーンは、これらのリソースに対して論理的なサービス品質保証を提供しませんが、単一クラスター上のアクセスゾーン間でこれらのリソースを区分化できます。次の表で、サービス品質を向上させるためのリソースの区分化方法についていくつか説明します。



http://www.emc.com/collateral/TechnicalDocument/docu65240.pdf

http://www.emc.com/collateral/TechnicalDocument/docu65240.pdf

使用メモ

NIC アクセスゾーンに関連づけられている IP アドレスプールに特定のノード上の特定の NIC を割り当てることができる。これらの NIC を割り当てることで、アクセスゾーンに関連づけられるノードとインターフェイスを決定できます。これにより、CPU、メモリ、ネットワーク帯域幅を分離できます。IsilonSD Edge を実行している場合、ポートグループは IsilonSD ノード上の NIC を管理します。ポートグループの構成の詳細については、「IsilonSD Edge

インストールおよび管理ガイド」を参照してください。

SmartPools SmartPoolsは、ノードハードウェアの同等のクラスによって、通常は高、中、低パフォーマンスの複数の階層に分離される。SmartPool に書き込まれるデータは、そのプールのノード内のディスクにのみ書き込まれます。IP アドレスプールを単一の SmartPool のノードのみに関連づけると、ディスク I/O リソースを区分化できます。

SmartQuotas SmartQuotas を通じて、ユーザーまたはグループごとに、またはディレクトリ内でディスク容量を制限できる。アクセスゾーンのベースディレクトリにクォータを適用することで、そのアクセスゾーンで使用されるディスク容量を制限できます。

アクセスゾーンの管理EMC Isilon クラスターへのアクセスゾーンの作成、アクセスゾーン設定の表示と変更、アクセスゾーンの削除を行うことができます。

アクセスゾーンの作成アクセスゾーンを作成して、データを分離し、データにアクセスできるユーザーを制限できます。手順

1. isi zone zones create コマンドを実行します。次のコマンドを実行すると、zone3 という名前のアクセスゾーンが作成され、ベースディレクトリが/ifs/hr/data に設定されます。

isi zone zones create zone3 /ifs/hr/data

次のコマンドを実行すると、zone3 という名前のアクセスゾーンが作成され、ベースディレクトリが/ifs/hr/data に設定されて、まだ存在しない場合は EMC Isilon クラスターにディレクトリが作成されます。

isi zone zones create zone3 /ifs/hr/data --create-path


アクセスゾーンの管理 223

次のコマンドを実行すると、zone3 という名前のアクセスゾーンが作成され、ベースディレクトリが/ifs/hr/data に設定され、アクセスゾーンが groupnet2 に関連付けられます。

isi zone zones create zone3 /ifs/hr/data --groupnet=groupnet2

重複ベースディレクトリの割り当てワークフローで共有データを必要とする場合、アクセスゾーン間で重複ベースディレクトリを作成することができます。手順

1. isi zone zones create コマンドを実行します。次のコマンドを実行すると、同じベースディレクトリが zone3 に設定されている場合でも、zone5 という名前のアクセスゾーンが作成され、ベースディレクトリが/ifs/hr/data に設定されます。

isi zone zones create zone5 --path=/ifs/hr/data --force-overlap

アクセスゾーンでの認証プロバイダーの管理認証プロバイダーを追加および削除するにはアクセスゾーンを変更します。認証プロバイダーを追加する場合は、アクセスゾーンによって参照される同じグループネットに属している必要があります。認証プロバイダーをアクセスゾーンから削除しても、プロバイダーはシステムからは削除されず、将来使用できるようにそのまま残ります。認証プロバイダーがアクセスゾーンに追加される順序は、プロバイダーが認証およびユーザーの検索中に検索された順序が指定されます。手順

1. 認証プロバイダーを追加するには、isi zone zones modify コマンドを--add-auth-providers オプションで実行します。認証プロバイダーの名前は、次の形式で指定する必要があります。［<provider-type>］:［<provider-name>］。

次のコマンドを実行すると、HR-Users という名前のファイル認証プロバイダーが zone3 アクセスゾーンに追加されます。

isi zone zones modify zone3 --add-auth-providers=file:hr-users

2. 認証プロバイダーを削除するには、isi zone zones modify コマンドを--remove-auth-providers オプションで実行します。認証プロバイダーの名前は、次の形式で指定する必要があります。［<provider-type>］:［<provider-name>］。

次のコマンドを実行すると、HR-Users という名前のファイル認証プロバイダーが zone3 アクセスゾーンから削除されます。

isi zone zones modify zone3 --remove-auth-providers=file:hr-users



次のコマンドを実行すると、すべての認証プロバイダーが zone3 アクセスゾーンから削除されます。

isi zone zones modify zone3 --clear-auth-providers

IP アドレスプールのアクセスゾーンへの関連づけIP アドレスプールをアクセスゾーンに関連づけて、クライアントがプールに割り当てられた IP アドレス範囲でのみアクセスゾーンに接続できるようにすることができます。

はじめにIP アドレスプールは、アクセスゾーンによって参照されている同じグループネットに属している必要があります。手順

1. isi network pools modify コマンドを実行します。変更するプール ID を次の形式で指定します。

<groupnet_name>.<subnet_name>.<pool_name>

次のコマンドを実行すると、groupnet1 と subnet1 の下にある pool1 に zone3 が関連づけられます。

isi network pools modify groupnet1.subnet1.pool1 --access-zone=zone3

アクセスゾーンの変更組み込み型の System ゾーンの名前以外の任意のアクセスゾーンのプロパティを変更できます。手順

1. isi zone zones modify コマンドを実行します。次のコマンドを実行すると、zone3 アクセスゾーンの名前が zone5 に変更され、現在のすべての認証プロバイダーがアクセスゾーンから削除されます。

isi zone zones modify zone3 --name=zone5 --clear-auth-providers

アクセスゾーンの削除組み込みの System ゾーンを除いて任意のアクセスゾーンを削除できます。アクセスゾーンを削除した場合、関連づけられているすべての認証プロバイダーは他のアクセスゾーンで引き続き使用可能ですが、IP アドレスは他のアクセスゾーンに再割り当てされません。アクセスゾーンを削除すると、SMB共有、NFS エクスポート、HDFS データパスが削除されます。ただし、ディレクトリとデータはまだ存在し、別のアクセスゾーンに新しい共有、エクスポート、パスをマップできます。手順

1. isi zone zones delete コマンドを実行します。


IP アドレスプールのアクセスゾーンへの関連づけ 225

次のコマンドを実行すると、zone3 アクセスゾーンが削除されます。

isi zone zones delete zone3

アクセスゾーンの一覧表示EMC Isilon クラスター上のすべてのアクセスゾーンのリストを表示したり、特定のアクセスゾーンの詳細を表示したりすることができます。手順

1. クラスター上のすべてのアクセスゾーンのリストを表示するには、isi zone zoneslist コマンドを実行します。次の例のような出力が表示されます。

Name Path------------------------System /ifszone3 /ifs/hr/benefitszone5 /ifs/marketing/collateral------------------------

2. 特定のアクセスゾーンの詳細を表示するには、isi zone zones view コマンドを実行し、ゾーン名を指定します。次のコマンドを実行すると、zone5 の設定の詳細が表示されます。

isi zone zones view zone5


Name: zone5 Path: /ifs/marketing/collateral Groupnet: groupnet0 Map Untrusted: - Auth Providers: lsa-local-provider:zone5 NetBIOS Name: - User Mapping Rules: -Home Directory Umask: 0077 Skeleton Directory: /usr/share/skel Cache Entry Expiry: 4H Zone ID: 3

アクセスゾーンコマンドアクセスゾーンコマンドを使用して、アクセスゾーンを構成および管理できます。

isi zone restrictions create

ユーザーまたはグループに/ifs ディレクトリへのアクセスを禁止します。制限されたユーザーまたはグループがファイルの読み取りまたは書き込みを試みると、ACCESS DENIED エラーが返ります。



構文

isi zone restrictions create <zone> {<user> | --uid ［<integer>］ | --group ［<string>］ | --gid ［<integer>］ | --sid ［<string>］ | --wellknown ［<string>］} [--verbose]

オプション<zone>

名前でアクセスゾーンを指定します。

<user>名前でユーザーを指定します。

--uid［<integer>］UID でユーザーを指定します。

--group［<string>］名前でグループを指定します。

--gid［<integer>］GID でグループを指定します。

--sid［<string>］ユーザーまたはグループ SID でオブジェクトを指定します。

--wellknown［<name>］一般に知られているユーザー、グループ、マシン、アカウント名を指定します。

{--verbose | -v}

コマンドの実行後に成功または失敗のメッセージを返します。

isi zone restrictions delete

ユーザーまたはグループに/ifs ディレクトリへのアクセスを禁止する制限を削除します。構文

isi zone restrictions delete <zone> {<user> | --uid ［<integer>］ | --group ［<string>］ | --gid ［<integer>］ | --sid ［<string>］ | --wellknown ［<string>］} [--force] [--verbose]



<user>名前でユーザーを指定します。

--uid［<integer>］


isi zone restrictions delete 227

UID でユーザーを指定します。

--group［<string>］名前でグループを指定します。


--sid［<string>］ユーザーまたはグループ SID でオブジェクトを指定します。

--wellknown［<string>］オブジェクトを一般的な SID で指定します。

{--force | -f}

コマンドラインプロンプトとメッセージを抑制します。

{--verbose | -v}


isi zone restrictions list

/ifs ディレクトリへのアクセスを禁止されているユーザーまたはグループのリストを表示します。構文

isi zone restrictions list <zone> [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]



{--limit | -l} ［<integer>］指定されたアイテム数のみを表示します。



{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}




例組み込み型 System ゾーンの制限されたユーザーのリストを表示するには、次のコマンドを実行します。

isi zone restrictions list system

isi zone zones create

アクセスゾーンを作成します。

構文

isi zone zones create ［<name>］［<path>］ [--map-untrusted ［<workgroup>］] [--auth-providers ［<provider-type>］:［<provider-name>］] [--netbios-name ［<string>］] [--user-mapping-rules ［<string>］] [--home-directory-umask ［<integer>］] [--skeleton-directory ［<string>］] [--cache-entry-expiry ［<duration>］] [--create-path] [--force-overlap] [--groupnet ［<groupnet>］] [--verbose]


アクセスゾーンの名前を指定します。

［<path>］ゾーンのベースディレクトリパスを指定します。

--map-untrusted［<workgroup>］認証時に、信頼されていないドメインを指定された NetBIOS ワークグループにマップします。

--auth-providers［<provider-type>］:［<provider-name>］アクセスゾーンへの認証に 1 つ以上の認証プロバイダーをコンマで区切って指定します。認証プロバイダーは、指定した順序でチェックされます。認証プロバイダーの名前は <provider-type>:<provider-name>の形式で指定する必要があります。

--netbios-name［<string>］NetBIOS名を指定します。

--user-mapping-rules［<string>］アクセスゾーンの 1 つ以上のユーザーマッピングルールをコンマで区切って指定します。

--home-directory-umask［<integer>］自動作成されたユーザーのホームディレクトリに設定する権限を指定します。

--skeleton-directory［<string>］ユーザーのホームディレクトリの骨格を設定します。

--cache-entry-expiry［<duration>］


isi zone zones create 229

ユーザー/グループをキャッシュする期間を指定します。

--create-pathアクセスゾーンパスとして入力された値が存在しない場合は、作成されるように指定します。

--force-overlapベースディレクトリが別のアクセスゾーンのベースディレクトリと重複できるようにします。

--groupnet［<string>］アクセスゾーンによって参照されるグループネットを指定します。

{--verbose | -v}

コマンドの実行結果を表示します。

isi zone zones delete

アクセスゾーンを削除します。アクセスゾーンに関連づけられているすべての認証プロバイダーは、他のゾーンで使用可能なままになりますが、IP アドレスは再割り当てされません。組み込み型システムゾーンは削除できません。

構文

isi zone zones delete <zone> [--force] [--verbose]


削除するアクセスゾーンの名前を指定します。

{--force | -f}


{--verbose | -v}


isi zone zones list

クラスター内のアクセスゾーンの一覧を表示します。

構文

isi zone zones list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]


指定されたアイテム数のみを表示します。





{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


例クラスター内のすべてのアクセスゾーンの一覧を表示するには、次のコマンドを実行します。

isi zone zones list

isi zone zones modify

アクセスゾーンを変更します。

構文

isi zone zones modify ［<zone>］ [--name ［<string>］] [--path ［<path>］] [--map-untrusted ［<string>］] [--auth-providers ［<provider-type>］:［<provider-name>］] [--clear-auth-providers] [--add-auth-providers ［<provider-type>］:［<provider-name>］] [--remove-auth-providers ［<provider-type>］:［<provider-name>］] [--netbios-name ［<string>］] [--user-mapping-rules ［<string>］] [--clear-user-mapping-rules] [--add-user-mapping-rules ［<string>］] [--remove-user-mapping-rules ［<string>］] [--home-directory-umask ［<integer>］] [--skeleton-directory ［<string>］] [--cache-entry-expiry ［<duration>］] [--revert-cache-entry-expiry] [--create-path] [--force-overlap] [--verbose]

オプション［<zone>］

変更するアクセスゾーンの名前を指定します。

--name［<string>］アクセスゾーンの新しい名前を指定します。組み込み型システムアクセスゾーンの名前を変更することはできません。

--path［<path>］


isi zone zones modify 231

ゾーンのベースディレクトリパスを指定します。

--map-untrusted［<string>］認証時に信頼されていないドメインをマップする NetBIOS ワークグループを指定します。

--auth-providers［<provider-type>］:［<provider-name>］アクセスゾーンへの認証に 1 つ以上の認証プロバイダーをコンマで区切って指定します。このオプションは、認証プロバイダーリストの既存のエントリーを上書きします。現在のエントリーに影響を与えずにプロバイダーを追加または削除するには、--add-auth-providers または--remove-auth-providers の設定を行います。

--clear-auth-providersすべての認証プロバイダーをアクセスゾーンから削除します。

--add-auth-providers［<provider-type>］:［<provider-name>］1 つ以上の認証プロバイダーをコンマで区切ってアクセスゾーンに追加します。

--remove-auth-providers［<provider-type>］:［<provider-name>］1 つ以上の認証プロバイダーをコンマで区切ってアクセスゾーンから削除します。

--netbios-name［<string>］NetBIOS名を指定します。

--user-mapping-rules［<string>］アクセスゾーンの 1 つ以上のユーザーマッピングルールをコンマで区切って指定します。このオプションは、ユーザーマッピングルールリストのすべてのエントリーを上書きします。現在のエントリーを上書きせずにマッピングルールを追加または削除するには、--add-user-mapping-rules または--remove-user-mapping-rules の設定を行います。

--clear-user-mapping-rulesすべてのユーザーマッピングルールをアクセスゾーンから削除します。

--add-user-mapping-rules［<string>］1 つ以上のユーザーマッピングルールをコンマで区切ってアクセスゾーンに追加します。

--remove-user-mapping-rules［<string>］1 つ以上のユーザーマッピングルールをコンマで区切ってアクセスゾーンから削除します。

--home-directory-umask［<integer>］自動作成されたユーザーのホームディレクトリに設定する権限を指定します。

--skeleton-directory［<string>］ユーザーのホームディレクトリの骨格を設定します。

--cache-entry-expiry［<duration>］ユーザー/グループをキャッシュする期間を指定します。

--cache-entry-expiry--cache-entry-expiry の値をシステムのデフォルト値に設定します。

--create-pathゾーンパスが存在しない場合、作成されるように指定します。



--force-overlapベースディレクトリが別のアクセスゾーンのベースディレクトリと重複できるようにします。

{--verbose | -v}


isi zone zones view

アクセスゾーンのプロパティを表示します。

構文

isi zone zones view <zone>


表示するアクセスゾーンの名前を指定します。


isi zone zones view 233

第 6 章

認証

このセクションは、以下のトピックで構成されています。

l 認証の概要....................................................................................................... 236l 認証プロバイダーの機能....................................................................................... 236l SID（セキュリティ識別子）ヒストリの概要.............................................................. 236l サポートされている認証プロバイダー........................................................................237l Active Directory............................................................................................... 237l LDAP................................................................................................................238l NIS...................................................................................................................239l Kerberos認証.................................................................................................. 239l ファイルプロバイダー............................................................................................. 240l ローカルプロバイダー.............................................................................................241l Active Directory プロバイダーの管理.................................................................... 241l LDAP プロバイダーの管理.................................................................................... 242l NIS プロバイダーの管理....................................................................................... 244l MIT Kerberos認証の管理................................................................................. 245l ファイルプロバイダーの管理................................................................................... 254l ローカルユーザーおよびグループの管理...................................................................258l 認証およびアクセス制御コマンド............................................................................ 262

認証 235

認証の概要OneFSはローカルとリモートの認証プロバイダーをサポートし、EMC Isilon クラスターへのアクセスを試行するユーザーが宣言通りであることを確認します。認証が不要な匿名アクセスは、それが許可されているプロトコルでサポートされています。OneFSは複数のタイプの認証プロバイダーの同時使用をサポートしており、ディレクトリサービスに類似しています。たとえば、OneFSは、多くの場合、Active Directory を使用してWindows クライアントを認証し、LDAP を使用して UNIX クライアントを認証するように構成されます。また、NIS（Sun Microsystems が設計）を構成して、クラスターにアクセスするユーザーとグループを認証できます。

OneFSは RFC 2307 に準拠しています。

認証プロバイダーの機能使用している環境の認証プロバイダーを構成できます。認証プロバイダーでは、次の表で説明する機能の混在がサポートされます。

機能説明

認証すべての認証プロバイダーは、平文認証をサポートしています。一部のプロバイダーは、NTLM またはKerberos認証をサポートするように構成することもできます。

ユーザーとグループ OneFSは、クラスター上で直接ユーザーとグループを管理するための機能を提供します。

ネットグループネットワークグループは NFS に固有で、NFS エクスポートへのアクセスを制限します。

UNIX中心のユーザーとグループのプロパティログインシェル、ホームディレクトリ、UID、GID。不足している情報は、構成テンプレートまたは追加の認証プロバイダーによって補足されます。

Windows中心のユーザーとグループのプロパティ NetBIOS ドメインおよび SID。不足している情報は、構成テンプレートによって補足されます。

SID（セキュリティ識別子）ヒストリの概要SID ヒストリは、Active Directory ドメインの移行時に、ユーザーおよびグループのメンバーシップとアクセス権を保存します。SID（セキュリティ識別子）ヒストリは、Active Directory ドメインの移行時に、ユーザーおよびグループのメンバーシップとアクセス権を保存します。オブジェクトを新しいドメインに移動すると、新ドメインが固有のプレフィックス付きの新しい SID を生成し、以前の SID情報を LDAP フィールドに記録します。この操作により、ユーザーとグループが、以前のドメインと同じアクセス権と権限を新しいドメインでも確実に保持できます。履歴の SID を使用する場合は、以下に注意してください。

認証


l 履歴の SIDは履歴ファイルアクセスと認証権限の管理にのみ使用する。l 新しいユーザー、グループ、ロールの追加に履歴の SID を使用しない。l ユーザーの変更、またはロールあるいはグループへのユーザーの追加には、ドメインで定義された

現在のオブジェクト SID を常に使用する。

サポートされている認証プロバイダーローカルとリモートの認証プロバイダーを構成して、EMC Isilon クラスターへのユーザーアクセスを認証または拒否できます。次の表に、OneFS がサポートしている各認証プロバイダーで使用可能な機能の比較を示します。次の表で、「x」は機能がプロバイダーで完全にサポートされていることを示します。アスタリスク（*）は、追加の構成または別のプロバイダーからのサポートが必要であることを示します。

認証プロバイダー

NTLM Kerberos ユーザー/グループ管理

ネットグループ

UNIX プロパティ（RFC2307）

Windowsのプロパティ

ActiveDirectory

x x * x

LDAP * x x x *

NIS x x

ローカル x x x x

ファイル x x x

MITKerberos

x * * *

Active DirectoryActive Directoryは、Microsoft による LDAP（Lightweight Directory Access Protocol）、Kerberos、DNS テクノロジーの実装であり、ネットワークリソースに関する情報を格納することができます。Active Directory には多くの機能がありますが、クラスターを Active Directory ドメインに接続する主な理由は、ユーザー認証およびグループ認証を行うためです。IPv4 アドレス、IPv6 アドレス、参加権限を持つユーザー名に解決できる完全修飾ドメイン名を指定することで、EMC Isilon クラスターを AD（Active Directory）ドメインに参加させることができます。クラスターが AD ドメインに参加するとき、単一の AD マシンアカウントが作成されます。マシンアカウントは、ドメインとの信頼関係を確立し、クラスターが Active Directory フォレスト内のユーザーを認証および承認できるようにするために使用されます。マシンアカウント名は、デフォルトではクラスター名と同じです。クラスター名が 15文字以上の場合、ドメイン参加後は名前がハッシュ化されて表示されます。OneFSは、Active Directory ドメインユーザーの認証に NTLM およびMicrosoft Kerberos をサポートします。NTLM クライアント認証情報がログインプロセスから取得され、暗号化されたチャレンジ/レスポンス形式で認証のために提示されます。Microsoft Kerberos クライアント認証情報は、KDC（キー配布センター）から取得され、サーバー接続の確立時に提示されます。セキュリティとパフォーマンスを向上させるために、Microsoft のガイドラインに従って、Kerberos を ActiveDirectory のプライマリ認証プロトコルとして実装することをお勧めします。

認証

サポートされている認証プロバイダー 237

各 Active Directory プロバイダーは、グループネットに関連づける必要があります。グループネットとは、DNS ネームサーバーに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納する最上位レベルのネットワークコンテナーです。グループネットは、Active Directory プロバイダーが外部のサーバーと通信するときに使用するネットワークのプロパティを指定します。ActiveDirectory プロバイダーと関連づけられたグループネットを変更することはできません。代わりに、Active Directory プロバイダーを削除し、新しいグループネットの関連づけを使用して再度作成する必要があります。アクセスゾーンを通じて接続するクライアントの認証方法として、アクセスゾーンに ActiveDirectory プロバイダーを追加できます。OneFSは、Isilon クラスターで Active Directory の複数のインスタンスをサポートしますが、アクセスゾーンに割り当てることができる Active Directory プロバイダーは 1 つだけです。アクセスゾーンと Active Directory プロバイダーは、同じグループネットを参照する必要があります。相互に信頼されない複数のドメインに対してアクセスを許可する場合のみ、複数の Active Directory インスタンスを構成してください。すべてのドメインに信頼関係がある場合は、単一の Active Directory インスタンスを構成してください。関連づけられているアクセスゾーンから Active Directory プロバイダーを削除することで、そのプロバイダーによる認証を中止できます。

LDAPLDAP（Lightweight Directory Access Protocol）は、ディレクトリサービスとリソースを定義、照会、変更できるようにするためのネットワークプロトコルです。OneFSは、ユーザーとグループにクラスターへのアクセスを許可するため、ユーザーとグループをLDAP リポジトリに対して認証することができます。OneFSは、LDAP プロバイダーの Kerberos認証をサポートします。LDAP サービスは次の機能をサポートしています。l ユーザー、グループ、ネットグループ。l 構成可能な LDAP スキーマ。たとえば、ldapsam スキーマを使用すると、Windows と同様の

属性を持つユーザーに対し、SMB プロトコル上で NTLM認証が可能です。l 単純な bind認証（SSL を使用または不使用）。l 同じディレクトリデータを持つサーバー間の冗長性とロードバランシング。l 異なるユーザーデータを持つサーバーにアクセスするための複数の LDAP プロバイダーインスタ

ンス。l 暗号化されたパスワード。l IPv4 および IPv6 サーバー URI。各 LDAP プロバイダーは、グループネットに関連づける必要があります。グループネットとは、DNS ネームサーバーに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納する最上位レベルのネットワークコンテナーです。グループネットは、LDAP プロバイダーが外部のサーバーと通信するときに使用するネットワークのプロパティを指定します。LDAP プロバイダーと関連づけられたグループネットを変更することはできません。代わりに LDAP プロバイダーを削除して、新しいグループネットの関連づけを使用して再度作成する必要があります。アクセスゾーンを通じて接続するクライアントの認証方法として、アクセスゾーンに LDAP プロバイダーを追加できます。1 つのアクセスゾーンには、最大で 1 つの LDAP プロバイダーを含めることができます。アクセスゾーンと LDAP プロバイダーは、同じグループネットを参照する必要があります。関連づけられているアクセスゾーンから LDAP プロバイダーを削除することで、そのプロバイダーによる認証を中止できます。

認証


NISNIS（Network Information Service）は、ローカルエリアネットワーク全体で認証機能と身元の統一性を提供します。OneFS には NIS認証プロバイダーが含まれており、クラスターを NIS インフラストラクチャと統合できます。NIS（Sun Microsystems が設計）を使用すると、クラスターにアクセスするユーザーとグループを認証できます。NIS プロバイダーは、NIS サーバーからパスワード、グループ、ネットグループマップを公開します。ホスト名検索もサポートされています。冗長性とロードバランシングのために、複数のサーバーを指定できます。各 NIS プロバイダーは、グループネットに関連づける必要があります。グループネットとは、DNS ネームサーバーに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納する最上位レベルのネットワークコンテナーです。グループネットは、NIS プロバイダーが外部のサーバーと通信するときに使用するネットワークのプロパティを指定します。NIS プロバイダーと関連づけられたグループネットを変更することはできません。代わりに NIS プロバイダーを削除して、新しいグループネットの関連づけを使用して再度作成する必要があります。アクセスゾーンを通じて接続するクライアントの認証方法として、アクセスゾーンに NIS プロバイダーを追加できます。1 つのアクセスゾーンには、最大で 1 つの NIS プロバイダーを含めることができます。アクセスゾーンと NIS プロバイダーは、同じグループネットを参照する必要があります。関連づけられているアクセスゾーンから NIS プロバイダーを削除することで、そのプロバイダーによる認証を中止できます。

NISは、OneFS がサポートしていない NIS+とは異なります。

Kerberos認証Kerberosは、接続をセキュリティで保護するために暗号化チケットをネゴシエートするネットワーク認証プロバイダーです。OneFS では、Microsoft Kerberos認証プロバイダーとMIT Kerberos認証プロバイダーが EMC Isilon クラスターでサポートされます。Active Directory プロバイダーを構成する場合は、Microsoft Kerberos認証のサポートが自動的に提供されます。MIT Kerberosは、Active Directory から独立して動作します。MIT Kerberos認証では、領域と呼ばれる管理ドメインを定義します。この領域内では、認証サーバーにはユーザー、ホスト、サービスを認証する権限があります。サーバーは、IPv4 アドレスまたはIPv6 アドレスに解決できます。オプションで、追加のドメイン拡張機能を領域に関連づけることができるように Kerberos ドメインを定義できます。Kerberos環境の認証サーバーは、KDC（キー配布センター）と呼ばれ、暗号化されたチケットを配布します。ユーザーが領域内のMIT Kerberos プロバイダーで認証されると、ユーザーの SPN（サービスプリンシパル名）で暗号化されたチケットが作成され、リクエストされたサービスにユーザーの ID が安全に渡されることが妥当性検査されます。各MIT Kerberos プロバイダーは、グループネットに関連づける必要があります。グループネットとは、DNS ネームサーバーに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納する最上位レベルのネットワークコンテナーです。グループネットは、Kerberos プロバイダーが外部のサーバーと通信するときに使用するネットワークのプロパティを指定します。Kerberos プロバイダーと関連づけられたグループネットを変更することはできません。代わりに Kerberos プロバイダーを削除して、新しいグループネットの関連づけを使用して再度作成する必要があります。

認証

NIS 239

アクセスゾーンを通じて接続するクライアントの認証方法として、アクセスゾーンにMIT Kerberosプロバイダーを追加できます。1 つのアクセスゾーンには、最大で 1 つのMIT Kerberos プロバイダーを含めることができます。アクセスゾーンと Kerberos プロバイダーは、同じグループネットを参照する必要があります。関連づけられているアクセスゾーンからMIT Kerberos プロバイダーを削除することで、そのプロバイダーによる認証を中止できます。

キータブと SPN の概要KDC（キー配布センター）は、EMC Isilon クラスター内のネットワークサービスに接続しているユーザーのアカウントとキータブを格納する認証サーバーです。キータブは、Kerberos チケットの妥当性検査と暗号化を行うためのキーを格納するキーテーブルです。キータブエントリーのフィールドの 1 つは SPN（サービスプリンシパル名）です。 SPNは、クラスター内の一意のサービスインスタンスを識別します。各 SPNは、KDC内の特定のキーに関連づけられています。ユーザーは、SPN とそれに関連づけられたキーを使用して、クラスター上のさまざまなサービスへのアクセスを可能にする Kerberos チケットを取得します。 SecurityAdmin役割のメンバーは、SPN の新しいキーを作成したり、後で必要に応じて変更したりできます。通常、サービスのSPNは<service>/<fqdn>@<realm>として表示されます。

SPNは、SmartConnect ゾーン名およびクラスターの FQDN ホスト名と一致する必要があります。 SmartConnect ゾーン設定が変更された場合は、変更と一致するようにクラスター上の SPNを更新する必要があります。

MIT Kerberos プロトコルのサポートMIT Kerberos では、HTTP、HDFS、NFSなどの特定の標準ネットワーク通信プロトコルがサポートされます。 MIT Kerberos では、SMB、SSH、FTP プロトコルはサポートされません。

NFS プロトコルサポートでは、エクスポートに対してMIT Kerberos を有効化する必要があり、Kerberos プロバイダーがアクセスゾーンに含まれている必要もあります。

ファイルプロバイダーファイルプロバイダーを通じて、ユーザーやグループに関する情報の信頼できるサードパーティソースを EMC Isilon クラスターに提供できます。サードパーティソースは、複数のサーバーに渡って/etc/passwd、/etc/group、etc/netgroup ファイルを同期する UNIX および Linux環境で有用です。標準的な BSD の/etc/spwd.db と/etc/group のデータベースファイルは、クラスター上のファイルプロバイダーのバッキングストアとして機能します。 OneFS CLI（コマンドラインインターフェイス）の pwd_mkdb コマンドを実行して spwd.db ファイルを生成します。データベースファイルへの更新をスクリプト化できます。Isilon クラスターでは、ファイルプロバイダーは libcrypt でパスワードをハッシュします。最高のセキュリティを実現するために、ソース/etc/passwd ファイルでModular Crypt Format を使用して、ハッシュアルゴリズムを決定することをお勧めします。 OneFS では、Modular Crypt Format に対して次のアルゴリズムをサポートします。l MD5

l NT-Hash

l SHA-256

認証


l SHA-512

使用可能なその他のパスワード形式の詳細については、CLI で man 3 crypt コマンドを実行して、暗号マニュアルページを表示してください。

組み込みの System ファイルプロバイダーには、root、admin、nobodyなどのシステムアカウントを一覧表示、管理、認証するためのサービスが含まれています。 System ファイルプロバイダーは変更しないことをお勧めします。

ローカルプロバイダーローカルプロバイダーには、管理者によって追加されたユーザーアカウントで使用できる認証機能と検索機能が用意されています。ローカル認証は、Active Directory、LDAP、NIS ディレクトリサービスが構成されていない場合や、特定のユーザーやアプリケーションがクラスターにアクセスする必要がある場合に役立ちます。ローカルグループには、組み込み型のグループと Active Directory グループをメンバーとして含めることができます。ネットワークベースの認証ソースの構成に加えて、クラスター内の各ノードのローカルパスワードポリシーを構成することでローカルユーザーとグループを管理することもできます。 OneFS設定では、パスワードの複雑性、パスワードの経過期間と再使用、パスワード試行ロックアウトポリシーを指定します。

Active Directoryプロバイダーの管理Active Directory プロバイダーの表示、構成、変更、削除を実施できます。 OneFSは、グローバルな Kerberos構成ファイルに加えて Active Directory用の Kerberos構成ファイルを備えています。どちらの構成ファイルもコマンドラインインターフェイスを使用して構成できます。 ActiveDirectory プロバイダーを使用しているすべてのアクセスゾーンからその Active Directory プロバイダーを削除することで、その Active Directory プロバイダーによる認証を中止できます。

Active Directory プロバイダーの構成1 つ以上の Active Directory プロバイダーを構成できます。それぞれの Active Directory プロバイダーは異なる Active Directory ドメインに属する必要があります。デフォルトでは、ActiveDirectory プロバイダーを構成すると、自動的に System アクセスゾーンに追加されます。

AD（Active Directory）プロバイダーを構成する際は、次の点を考慮します。l OneFS から Active Directory に参加すると、クラスターの時刻は Active Directory サーバ

ーから更新されます（クラスターに NTP サーバーが構成されていない場合）。l Active Directory プロバイダーは、グループネットに関連づける必要があります。l Active Directory ドメインは、IPv4 または IPv6 アドレスに解決できます。

認証

ローカルプロバイダー 241

手順1. isi auth ads create コマンドを実行して、Active Directory サーバーのドメイン名と AD ドメインにマシンを参加させる権限を持つ AD ユーザーの名前を指定することでActive Directory プロバイダーを作成します。

次のコマンドでは、adserver.company.com をシステムに作成する Active Directory サーバーの完全修飾ドメイン名として指定し、クラスターを AD ドメインに参加させる権限を持つ「管理者」を AD ユーザーとして指定して、プロバイダーを groupnet3 に関連づけます。

isi auth ads create --name=adserver.company.com \ --user=administrator --groupnet=groupnet3

Active Directory プロバイダーの変更Active Directory プロバイダーの詳細設定を変更できます。手順

1. 次のコマンドを実行して Active Directory プロバイダーを変更します。ここで、［<provider-name>］は、変更するプロバイダーの名前のプレースホルダーです。

isi auth ads modify <provider-name>

Active Directory プロバイダーの削除Active Directory プロバイダーを削除すると、そのプロバイダーに関連づけられた ActiveDirectory ドメインからクラスターが切断されるため、そのドメインにアクセス中のユーザーに対するサービスが中断されます。 Active Directory ドメインから離れた後は、ユーザーはクラスターからそのドメインにアクセスできなくなります。手順

1. Active Directory プロバイダーを削除するには、次のコマンドを実行します。ここで、［<name>］は削除する Active Directory名のプレースホルダーです。

isi auth ads delete <name>

LDAPプロバイダーの管理LDAP プロバイダーを表示、構成、変更、削除できます。 LDAP プロバイダーを使用しているすべてのアクセスゾーンからその LDAP プロバイダーを削除することで、その LDAP プロバイダーによる認証を中止できます。

LDAP プロバイダーの構成デフォルトでは、LDAP プロバイダーを構成すると、自動的に System アクセスゾーンに追加されます。手順

1. isi auth ldap create コマンドを実行して LDAP プロバイダーを作成します。

認証


次のコマンドでは、test-ldap という LDAP プロバイダーを作成し、それを groupnet3 に関連づけます。このコマンドでは、ID を検索するツリーのルートを指定するベース識別名も設定され、サーバー URI として ldap://2001:DB8:170:7cff::c001 が指定されます。

isi auth ldap create test-ldap \ --base-dn="dc=test-ldap,dc=example,dc=com" \ --server-uris="ldap://[2001:DB8:170:7cff::c001]" \ --groupnet=groupnet3

ベース識別名は、コンマで区切られた相対識別名の値のシーケンスとして指定されます。LDAP サーバーで匿名クエリーが許可される場合は、ベース識別名を指定します。

次のコマンドでは、test-ldap という LDAP プロバイダーを作成し、それを groupnet3 に関連づけます。バインド識別名とバインドパスワードも指定されます。これらは LDAP サーバーの参加に使用され、サーバー URI として ldap://test-ldap.example.com を指定します。

isi auth ldap create test-ldap \ --base-dn="dc=test-ldap,dc=example,dc=com" \ --bind-dn="cn=test,ou=users,dc=test-ldap,dc=example,dc=com" \ --bind-password="mypasswd" \ --server-uris="ldap://test-ldap.example.com" \ --groupnet=groupnet3

バインド識別名は、コンマで区切られた相対識別名の値のシーケンスとして指定され、LDAP サーバーをクラスターに参加させるための適切な権限が必要です。LDAP サーバーで匿名クエリーが許可されない場合は、バインド識別名を指定します。

LDAP プロバイダーの変更名前を除いて LDAP プロバイダーのすべての設定を変更できます。有効にするには、プロバイダーに少なくとも 1 つのサーバーを指定する必要があります。手順

1. 次のコマンドを実行すると、LDAP プロバイダーが変更されます。ここで、［<provider-name>］は、変更するプロバイダーの名前のプレースホルダーです。

isi auth ldap modify <provider-name>

LDAP プロバイダーの削除LDAP プロバイダーを削除すると、すべてのアクセスゾーンから LDAP プロバイダーが削除されます。別の方法として、LDAP プロバイダーを、それを含むすべてのアクセスゾーンから削除することによってLDAP プロバイダーの使用を停止し、将来そのプロバイダーを利用できるようにしておくこともできます。この処理手順で使用可能なパラメーターとオプションの詳細については、 isi auth ldapdelete --help コマンドを実行してください。

認証

LDAP プロバイダーの変更 243

手順1. LDAP プロバイダーを削除するには、次のコマンドを実行します。ここで、［<name>］は削除する LDAP プロバイダーの名前のプレースホルダーです。

isi auth ldap delete <name>

NISプロバイダーの管理NIS プロバイダーの表示、構成、変更、または不要になったプロバイダーの削除を行うことができます。 NIS プロバイダーを使用しているすべてのアクセスゾーンからその NIS プロバイダーを削除することで、その NIS プロバイダーによる認証を中止できます。

NIS プロバイダーの構成複数の NIS プロバイダーをそれぞれに独自の設定を持たせて構成し、1 つまたは複数のアクセスゾーンに追加できます。手順

1. isi auth nis create コマンドを実行して NIS プロバイダーを構成します。

次の例では、groupnet3 に関連づけられいる、nistest と呼ばれる NIS プロバイダーを作成し、NIS サーバーとして nistest.company.com を指定し、ドメインとして company.com を指定します。

isi auth nis create nistest --groupnet=groupnet3\--servers="nistest.example.com" --nis-domain="example.com"

NIS プロバイダーの変更名前を除いて NIS プロバイダーのすべての設定を変更できます。有効にするには、プロバイダーに少なくとも 1 つのサーバーを指定する必要があります。手順

1. 次のコマンドを実行して NIS プロバイダーを変更します。ここで、［<provider-name>］は、変更するプロバイダーのプレースホルダーです。

isi auth nis modify <provider-name>

NIS プロバイダーの削除NIS プロバイダーを削除すると、すべてのアクセスゾーンから LDAP プロバイダーが削除されます。この代わりに、NIS プロバイダーを含むアクセスゾーンから除去することで NIS プロバイダーの使用を止めることができます。こうすると、将来的にプロバイダーを使用できます。手順

1. NIS プロバイダーを削除するには、次のコマンドを実行します。ここで、［<name>］は削除する NIS プロバイダーの名前のプレースホルダーです。

isi auth nis delete <name>

認証


MIT Kerberos認証の管理Active Directoryなしの認証用にMIT Kerberos プロバイダーを構成できます。 MIT Kerberosプロバイダーの構成には、MIT Kerberos領域の作成、プロバイダーの作成、定義済み領域への参加が関係します。オプションで、プロバイダーのMIT Kerberos ドメインを構成できます。Kerberos プロバイダーへの構成の変更がある場合は、暗号化キーを更新することもできます。プロバイダーを 1 つ以上のアクセスゾーンに含めることができます。

MIT Kerberos領域の管理MIT Kerberos領域は、認証サーバーがユーザーまたはサービスを認証する権限を持つ境界を定義する管理ドメインです。領域を作成、表示、編集、削除できます。ベストプラクティスとして、領域名は大文字を使用して指定します。

MIT Kerberos領域の作成MIT Kerberos領域は、KDC（キー配布センター）および管理サーバーを定義することで作成できます。はじめにMIT Kerberos領域を作成するには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。手順

1. isi auth krb5 realm create コマンドを実行してMIT Kerberos領域を作成します。次のコマンドを実行すると、TEST.COMPANY.COM というMIT Kerberos領域が作成され、管理サーバーとして admin.test.company.com、キー配布センターとしてkeys.test.company.com が指定されます。

isi auth krb5 realm create --realm=TEST.COMPANY.COM \ --kdc=keys.test.company.com --admin-server=admin.test.company.com

領域名の大文字と小文字は区別され、大文字で指定する必要があります。管理サーバーとキー配布センターは、IPv4 アドレス、IPv6 アドレス、ホスト名のいずれかとして指定できます。

MIT Kerberos領域の変更MIT Kerberos領域は、KDC（キー配布センター）、ドメイン（オプション）、そのレルムの管理サーバー設定を変更することで変更できます。はじめにMIT Kerberos プロバイダーを削除するには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。手順

1. isi auth krb5 realm modify コマンドを実行してMIT Kerberos領域を変更します。

認証

MIT Kerberos認証の管理 245

次のコマンドを実行すると、IPv6 アドレスとして指定された KDC を追加することでTEST.COMPANY.COM というMIT Kerberos領域が変更されます。

isi auth krb5 realm modify --realm=TEST.COMPANY.COM \ --kdc=2001:DB8:170:7cff::c001

領域名の大文字と小文字は区別され、大文字で指定する必要があります。キー配布センターは、IPv4 アドレス、IPv6 アドレス、ホスト名のいずれかとして指定できます。

MIT Kerberos領域の表示MIT Kerberos領域に関連づけられている名前、KDC（キー配布センター）、管理サーバーに関連する詳細を表示できます。手順

1. クラスターに構成されているすべての Kerberos領域の一覧を表示するには、isi authkrb5 realm list コマンドを実行します。次の例のような出力が表示されます。

Realm---------------TEST.COMPANY.COMENGKERB.COMPANY.COMOPSKERB.COMPANY.COM---------------Total: 3

2. 特定の Kerberos領域の設定の詳細を表示するには、isi auth krb5 realmview コマンドの後に領域名を指定して実行します。指定した領域名では、大文字と小文字が区別されます。

次のコマンドを実行すると、TEST.COMPANY.COM という領域の詳細が表示されます。

isi auth krb realm view TEST.COMPANY.COM


Realm: TEST.COMPANY.COMIs Default Realm: Yes KDC: 2001:DB8:170:7cff::c001, keys.test.company.com Admin Server: admin.test.company.com

KDC と管理サーバーは、IPv4 アドレス、IPv6 アドレス、ホスト名のいずれかとして指定できます。

MIT Kerberos領域の削除1 つ以上のMIT Kerberos領域と、関連づけられているすべてのMIT Kerberos ドメインを削除できます。

認証


はじめにKerberos領域は、Kerberos プロバイダーによって参照されます。プロバイダーを作成した領域を削除する前に、まずそのプロバイダーを削除する必要があります。MIT Kerberos領域を削除するには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。手順

1. isi auth krb5 realm delete コマンドを実行してMIT Kerberos領域を削除します。たとえば、次のコマンドを実行すると、領域が削除されます。

isi auth krb5 realm delete <realm>

MIT Kerberos プロバイダーの管理MIT Kerberos プロバイダーを表示、削除、変更できます。 Kerberos プロバイダー設定を構成することもできます。

MIT Kerberos プロバイダーの作成Kerberos領域の KDC（キー配布センター）を通じてクラスターにアクセスするための認証情報を取得することで、MIT Kerberos プロバイダーを作成できます。このプロセスは、領域への参加とも呼ばれます。このため、Kerberos プロバイダーを作成する場合は、以前に定義した領域にも参加します。OneFS が Kerberos環境を管理する方法に応じて、次のいずれかの方法で Kerberos プロバイダーを作成できます。l Kerberos管理サーバーにアクセスし、OneFS クラスターにサービスのキーを作成する。l Kerberos キー情報をキータブの形式で手動で転送する。

管理者資格情報を使用したMIT Kerberosプロバイダーの作成と領域への参加Kerberos管理サーバーへのアクセスを承認された認証情報を使用して、MIT Kerberos プロバイダーを作成し、MIT Kerberos領域に参加できます。EMC Isilon クラスターにさまざまなサービスのキーを作成できます。これは、Kerberos プロバイダーの作成および Kerberos領域への参加に推奨される方法です。はじめにKerberos管理サーバーにアクセスするには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。手順

1. isi auth krb5 create コマンドを実行して、Kerberos プロバイダーを作成し、Kerberos領域に参加します。［<realm>］は、すでに存在する Kerberos領域の名前で、存在しない場合は作成されます。領域名の大文字と小文字は区別され、大文字で指定する必要があります。

次の例のコマンドでは、Kerberos領域 TEST.COMPANY.COM が作成され、groupnet3 に関連づけられているプロバイダーに参加します。コマンドでは、管理サーバーと

認証

MIT Kerberos プロバイダーの管理 247

して admin.test.company.com、KDC として keys.test.company.com を指定し、管理サーバーへのアクセスを承認されているユーザー名とパスワードを指定します。

isi auth krb5 create --realm=TEST.COMPANY.COM \--user=administrator --password=secretcode \--kdc=keys.test.company.com \--admin-server=admin.test.company.com \--groupnet=groupnet3

KDC と管理サーバーは、IPv4 アドレス、IPv6 アドレス、ホスト名のいずれかとして指定できます。

キータブファイルを使用したMIT Kerberosプロバイダーの作成と領域への参加キータブファイルを使用して、MIT Kerberos プロバイダーを作成し、MIT Kerberos領域に参加できます。キータブファイルを通じて Kerberos キー情報を手動で転送することにより Kerberos環境が管理されている場合にのみ、この方法に従います。はじめに次の動作条件が満たされていることを確認します。l クラスター上に Kerberos領域がすでに存在している必要があります。l クラスター上にキータブファイルが存在する必要があります。l Kerberos管理サーバーにアクセスするには、ISI_PRIV_AUTH権限を持つ役割のメンバーで

ある必要があります。手順

1. isi auth krb5 create コマンドを実行します。次のコマンドは、groupnet3 に関連づけられている Kerberos プロバイダーを作成し、cluster-name.company.com と呼ばれる Kerberos領域に参加し、/tmp/krb5.keytab にあるキータブファイルを指定します。

isi auth krb5 create cluster-name.company.com \--keytab-file=/tmp/krb5.keytab --groupnet=groupnet3

MIT Kerberos プロバイダーの表示MIT Kerberos プロバイダーのプロパティは、作成後に表示できます。手順

1. 次のコマンドを実行して、Kerberos プロバイダーのプロパティを表示します。

isi auth krb5 view <provider-name>

MIT Kerberos プロバイダーの一覧表示1 つ以上のMIT Kerberos プロバイダーのリストを特定の形式で表示できます。一覧表示するプロバイダー数の制限も指定できます。

認証


手順1. isi auth krb5 list コマンドを実行して、1 つ以上の Kerberos プロバイダーの一覧を表示します。たとえば、次のコマンドを実行すると、最初の 5 つの Kerberos プロバイダーの一覧がヘッダーまたはフッターのない表形式で表示されます。

isi auth krb5 list -l 5 --format table --no-header --no-footer

MIT Kerberos プロバイダーの削除MIT Kerberos プロバイダーを削除し、それを参照されるすべてのアクセスゾーンから削除できます。プロバイダーを削除すると、MIT Kerberos領域も削除されます。

はじめにKerberos プロバイダーを削除するには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。手順

1. 次のように isi auth krb5 delete コマンドを実行して、Kerberos プロバイダーを削除します。

isi auth krb5 delete <provider-name>

MIT Kerberos プロバイダー設定の構成KDC（キー配布センター）、Kerberos レルム、Kerberos レルムに関連づけられた認証サーバーの場所を DNS レコードで特定できるように、Kerberos プロバイダーの設定を行えます。これらの設定は、すべてのノード、サービス、ゾーンのすべての Kerberos ユーザーに対してグローバルです。一部の設定は、クライアント側 Kerberos にのみ適用され、Kerberos プロバイダーには依存しません。

はじめにKerberos プロバイダーの設定を表示または変更するには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。手順

1. isi auth settings krb5 または view サブコマンドを使用して modify コマンドを実行します。

2. 変更する設定を指定します。

MIT Kerberos ドメインの管理オプションで、追加のドメイン拡張機能をMIT Kerberos領域に関連づけることができるようにMITKerberos ドメインを定義できます。領域のデフォルトドメインは常に指定できます。MIT Kerberos ドメインを作成、変更、削除、表示できます。 Kerberos ドメイン名は、通常は小文字を使用して指定する DNS サフィックスです。

認証

MIT Kerberos ドメインの管理 249

領域へのMIT Kerberos ドメインの追加オプションで、MIT Kerberos ドメインをMIT Kerberos領域に追加して、追加の Kerberos ドメイン拡張機能を Kerberos領域に関連づけることができます。

はじめにKerberos領域に Kerberos ドメインを関連づけるには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。手順

1. isi auth krb5 domain create コマンドを実行して、Kerberos ドメインを追加します。たとえば、次のコマンドを実行すると、Kerberos ドメインが Kerberos領域に追加されます。

isi auth krb5 domain create <domain>

MIT Kerberos ドメインの変更領域設定を変更することで、MIT Kerberos ドメインを変更できます。

はじめにMIT Kerberos ドメインを変更するには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。手順

1. isi auth krb5 domain modify コマンドを実行して、Kerberos ドメインを変更します。たとえば、次のコマンドを実行すると、代替 Kerberos領域を指定することで Kerberos ドメインが変更されます。

isi auth krb5 domain modify <domain> --realm <realm>

MIT Kerberos ドメインマッピングの表示MIT Kerberos ドメインマッピングのプロパティを表示できます。手順

1. ［<domain>］変数に値を指定して isi auth krb5 domain view コマンドを実行して、Kerberos ドメインマッピングのプロパティを表示します。

isi auth krb5 domain view <domain>

MIT Kerberos ドメインの一覧表示1 つ以上のMIT Kerberos ドメインのリストを、表形式、JSON、CSV、リスト形式で表示できます。一覧表示するドメイン数の制限も指定できます。

認証


手順1. isi auth krb5 domain list コマンドを実行して、1 つ以上のMIT Kerberos ドメインの一覧を表示します。たとえば、次のコマンドを実行すると、最初の 10個のMIT Kerberos ドメインの一覧がヘッダーまたはフッターのない表形式で表示されます。

isi auth krb5 domain list -l=10 --format=table --no-header --no-footer

MIT Kerberos ドメインマッピングの削除1 つ以上のMIT Kerberos ドメインマッピングを削除できます。

はじめにMIT Kerberos ドメインマッピングを削除するには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。手順

1. isi auth krb5 domain delete コマンドを実行してMIT Kerberos ドメインマッピングを削除します。たとえば、次のコマンドを実行すると、ドメインマッピングが削除されます。

isi auth krb5 domain delete <domain>

SPN およびキーの管理SPN（サービスプリンシパル名）は、EMC Isilon クラスター上のサービスのインスタンスを識別するためにクライアントによって参照される名前です。 MIT Kerberos プロバイダーは、SPN を通じてクラスター上のサービスを認証します。SPN およびそれに関連づけられたキーに対して次の操作を実行できます。l SPN に基づく SmartConnect ゾーン設定に変更がある場合は、それらの SPN を更新するl 登録された SPN の一覧を表示して、それらを検出された SPN のリストと比較するl SPN に関連づけられたキーを手動または自動で更新するl キータブテーブルからキーをインポートするl 特定のキーバージョンを削除するか、SPN に関連づけられているすべてのキーを削除する

SPN およびキーの表示MIT Kerberos プロバイダーに登録されている SPN（サービスプリンシパル名）とそれに関連づけられたキーを表示できます。クライアントは、Kerberos チケットを取得し、SPN およびそれに関連づけられたキーを使用して EMC Isilon クラスター上のサービスにアクセスします。

はじめにSPN とキーを表示するには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。

認証

SPN およびキーの管理 251

手順1. isi auth krb5 spn list コマンドを実行して、1 つ以上の SPN およびそれに関連づけられたキーと Kvno（キーバージョン番号）の一覧を表示します。

たとえば、次のコマンドを実行すると、MIT Kerberos プロバイダーの最初の 5 つの SPN の一覧がヘッダーまたはフッターのない表形式で表示されます。

isi auth krb5 list <provider-name> -l 5 --format table --no-header --no-footer <spn-list>

キーの削除特定のキーバージョン、または SPN（サービスプリンシパル名）に関連づけられているすべてのキーを削除できます。はじめにキーを削除するには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。

セキュリティ上の理由で、または構成の変更と一致させるために新しいキーを作成した後、この処理手順に従ってキーの古いバージョンを削除し、キータブテーブルに冗長なキーが入力されないようにします。手順

1. isi auth krb5 spn delete コマンドを実行して、指定した SPN のすべてのキーまたは特定のバージョンのキーを削除します。たとえば、次のコマンドを実行すると、MIT Kerberos プロバイダーの SPN に関連づけられているすべてのキーが削除されます。

isi auth krb5 spn delete <provider-name> <spn> --all

［<provider-name>］は、MIT Kerberos プロバイダーの名前です。［kvno］引数でキーのバージョン番号値を指定し、その値をコマンドシンタクスに含めることで、特定のバージョンのキーを削除できます。

SPN のキーの手動での追加または更新SPN（サービスプリンシパル名）のキーを手動で追加または更新できます。このプロセスでは、指定した SPN に新しいキーが作成されます。

はじめにSPN のキーを追加または更新するには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。手順

1. isi auth krb5 spn create コマンドを実行して、SPN のキーを追加または更新します。たとえば、次のコマンドを実行すると、［<provider-name>］、［<user>］、［<spn>］の位置引数を指定することで SPN のキーが追加または更新されます。

isi auth krb5 spn create <provider-name> <user> <spn>

認証


SPN の自動更新SPN（サービスプリンシパル名）がMIT Kerberos プロバイダーで登録されていても、検出されたSPN のリストに表示されない場合は、これを自動的に更新または追加できます。

はじめにSPN を自動的に更新するには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必要があります。手順

1. isi auth krb5 spn check コマンドを実行して、登録された SPN のリストを検出された SPN のリストと比較します。

比較で類似する結果が表示されない場合は、次のステップに進みます。2. isi auth krb5 spn fix コマンドを実行して、不足している SPN を修正します。

たとえば、次のコマンドを実行すると、MIT Kerberos サービスプロバイダーで不足しているSPN が追加されます。

isi auth krb5 spn fix <provider-name> <user>

オプションで、クライアントを特定のドメインに参加させる権限を持つユーザーのプレースホルダーである［<user>］のパスワードを指定できます。

キータブファイルのインポート従来のキータブファイルを使用して参加したMIT Kerberos プロバイダーは、Kerberos管理者認証情報を通じてキーを管理できないことがあります。このような場合は、新しいキータブファイルをインポートし、キータブファイルのキーをプロバイダーに追加します。

はじめにキータブファイルをインポートする前に、次の前提条件が満たされていることを確認します。l キータブファイルを作成し、この処理手順を実行するクラスター上のノードにコピーする必要があ

る。l キータブファイルをインポートするには、ISI_PRIV_AUTH権限を持つ役割のメンバーである必

要がある。手順

1. isi auth krb5 spn import コマンドを実行して、キータブファイルのキーをインポートします。たとえば、次のコマンドを実行すると、［<keytab-file>］のキーが［<provider-name>］として参照されるプロバイダーにインポートされます。

isi auth krb5 spn import <provider-name> <keytab-file>

認証

SPN およびキーの管理 253

ファイルプロバイダーの管理1 つ以上のファイルプロバイダーを構成できます。それぞれのファイルプロバイダーには、アクセスゾーンごとに固有の組み合わせの置き換えファイルが含まれています。パスワードデータベースファイル（ユーザーデータベースファイルとも呼ばれます）は、バイナリ形式にする必要があります。各ファイルプロバイダーは最大 3 つの置き換えデータベースファイルから直接データを取得します。それらは、/etc/group と同じ形式を使用するグループファイル、ネットグループファイル、バイナリパスワードファイルの spwd.db（/etc/master.passwd形式のファイル内のデータへの高速アクセスを提供するファイル）です。置き換えファイルはクラスターにコピーして、ディレクトリパスによって参照する必要があります。

置き換えファイルが/ifs ディレクトリツリー以外の場所にある場合は、そのファイルをクラスター内のすべてのノードに手動で配布する必要があります。システムプロバイダーのファイルに対して行われた変更は、自動的にクラスター全体に配信されます。

ファイルプロバイダーの構成ユーザー、グループ、ネットグループの任意の組み合わせに対して置き換えファイルを指定できます。手順

1. 次のコマンドを実行すると、ファイルプロバイダーが構成されます。ここで、［<name>］はファイルプロバイダーの名前です。

isi auth file create <name>

パスワードファイルの生成パスワードデータベースファイル（ユーザーデータベースファイルとも呼ばれます）は、バイナリ形式にする必要があります。この手順は、CLI（コマンドラインインターフェイス）を介して実行する必要があります。コマンドの使用のガイドラインについては、man pwd_mkdb コマンドを実行してください。手順

1. クラスター内の任意のノードへの SSH接続を確立します。2. pwd_mkdb <file> コマンドを実行します。［<file>］は、ソースパスワードファイルの場所

です。

デフォルトでは、バイナリパスワードファイル spwd.dbは/etc ディレクトリに作成されます。 -d オプションに別のターゲットディレクトリを指定することで、spwd.db ファイルを格納する場所をオーバーライドできます。

次のコマンドは、/ifs/test.passwd にあるパスワードファイルから、/etc ディレクトリに spwd.db ファイルを生成します。

pwd_mkdb /ifs/test.passwd

認証


次のコマンドは、/ifs/test.passwd にあるパスワードファイルから、/ifs ディレクトリに spwd.db ファイルを生成します。

pwd_mkdb -d /ifs /ifs/test.passwd

ファイルプロバイダーの変更NIS プロバイダーのすべての設定（名前を含む）を変更できます。

ファイルプロバイダーの名前を変更できますが、2 つの制限があります。 Web管理インターフェイスからのみファイルプロバイダーの名前を変更できることと、System ファイルプロバイダーの名前を変更できないことです。

手順1. 次のコマンドを実行してファイルプロバイダーを変更します。ここで、［<provider-name>］は、プロバイダーに提供した名前のプレースホルダーです。

isi auth file modify <provider-name>

ファイルプロバイダーの削除ファイルプロバイダーの使用を止めるには、すべての置き換えファイル設定をクリアするかプロバイダーを永続的に削除するかできます。

System ファイルプロバイダーを削除することはできません。

手順1. ファイルプロバイダーを削除するには、次のコマンドを実行します。ここで、［<name>］は、削除するプロバイダーの名前のプレースホルダーです。

isi auth file delete <name>

パスワードファイルの形式ファイルプロバイダーは、バイナリパスワードデータベースファイル spwd.db を使用します。pwd_mkdb コマンドを実行することで、master.passwd形式のファイルからバイナリパスワードファイルを生成できます。master.passwd ファイルには、次の例に示すようなコロンで区切られた 10個のフィールドが含まれています。

admin:*:10:10::0:0:Web UI Administrator:/ifs/home/admin:/bin/zsh

フィールドは、ファイルに現れる順に以下のように定義されます。

認証

ファイルプロバイダーの変更 255

UNIX システムでは、これらのフィールドから Class、Change、Expiry フィールドを省略したサブセットの passwd形式を定義している場合がよくあります。ファイルを passwd形式からmaster.passwd形式に変換するには、GID フィールドと Gecos フィールドの間に:0:0: を追加します。

ユーザー名ユーザー名。このフィールドでは大文字と小文字が区別されます。 OneFS ではレングスを制限していませんが、多くのアプリケーションでは名前を 16文字にトランケートします。

パスワードユーザーの暗号化されたパスワード。このユーザーの認証が必要ない場合は、パスワードの代わりにアスタリスク（*）を使用できます。アスタリスク文字はどのパスワードとも一致しないことが保証されています。

UID

UNIX ユーザー識別子。この値は［0～4294967294］の範囲の数字で、予約されていたりユーザーにすでに割り当てられていないことが必要です。この値が既存のアカウントのUID と競合する場合は、互換性の問題が発生します。

GID

ユーザーのプライマリグループのグループ識別子。すべてのユーザーは少なくとも 1 つのグループのメンバーになります。このグループはアクセス権の確認に使用されるほか、ファイルを作成するときにも使用されます。

Class

このフィールドは OneFS ではサポートされないため、空のままにする必要があります。

変更OneFSは、ファイルプロバイダー内のユーザーのパスワード変更をサポートしません。このフィールドは無視されます。

期限切れOneFSは、ファイルプロバイダー内のユーザーアカウントの有効期限をサポートしません。このフィールドは無視されます。

Gecos

このフィールドにはさまざまな情報を格納できますが、通常はユーザーのフルネームの格納に使用されます。

HOME

ユーザーのホームディレクトリの/ifs で始まる絶対パス。Shell

ユーザーのシェルの絶対パス。このフィールドが/sbin/nologin に設定された場合、そのユーザーはコマンドラインアクセスを拒否されます。

グループファイルの形式ファイルプロバイダーは、ほとんどの UNIX システムに存在する/etc/group ファイル形式のグループファイルを使用します。

認証


group ファイルは、次の例に示すようなコロンで区切られた 4個のフィールドからなる 1行以上の行で構成されています。

admin:*:10:root,admin

フィールドは、ファイルに現れる順に以下のように定義されます。グループ名

グループの名前。このフィールドでは大文字と小文字が区別されます。 OneFS ではグループ名のレングスを制限していませんが、多くのアプリケーションでは名前を 16文字にトランケートします。

パスワードこのフィールドは OneFS ではサポートされていないため、アスタリスク（*）にする必要があります。

GID

UNIX グループ識別子。有効な値は［0～4294967294］の範囲の任意の数字で、予約されていたりグループにすでに割り当てられていないことが必要です。この値が既存のグループの GID と競合する場合は、互換性の問題が発生します。

グループメンバーユーザー名のコンマ区切りのリスト。

ネットグループファイルの形式ネットグループファイルは 1 つ以上のネットグループで構成されており、それぞれのネットグループは複数のメンバーを含むことができます。ネットグループのメンバーであるホスト、ユーザー、ドメインは、メンバートリプルで指定されます。ネットグループは他のネットグループを含むこともできます。

netgroup ファイルの各エントリーは、ネットグループ名とそれに続くスペースで区切られた一連のメンバートリプルおよびネストされたネットグループ名で構成されます。ネストされたネットグループを指定する場合は、ファイルの別の行でそのグループを定義する必要があります。メンバートリプルの形式は次のとおりです。

(［<host>］, ［<user>］, ［<domain>］)

ここで、［<host>］はマシン名のプレースホルダー、［<user>］はユーザー名のプレースホルダー、［<domain>］はドメイン名のプレースホルダーです。空のトリプルを除く任意の組み合わせが有効です。［(,,)］。次のサンプルファイルには 2 つのネットグループがあります。 rootgrp ネットグループには 4 つのホストが含まれています。 2 つのホストはメンバートリプルで定義されており、2 つのホストは 2行目に定義されているネストされた othergrp ネットグループに含まれています。

rootgrp (myserver, root, somedomain.com) (otherserver, root,somedomain.com) othergrpothergrp (other-win,, somedomain.com) (other-linux,, somedomain.com)

認証

ネットグループファイルの形式 257

改行によって新しいネットグループが識別されます。最初の行の右端の位置にバックスラッシュ文字（\）を入力することによって、長いネットグループのエントリーを次の行に続けることができます。

ローカルユーザーおよびグループの管理アクセスゾーンを作成する場合、各ゾーンには、ローカルユーザーおよびグループを作成、管理できるローカルプロバイダーが含まれます。すべての認証プロバイダーのユーザーとグループを表示できますが、作成、変更、削除を行えるのは、ローカルプロバイダーのユーザーとグループだけです。

プロバイダーによるユーザーとグループのリストの表示プロバイダータイプによるユーザーとグループを表示できます。手順

1. 次のコマンドを実行すると、指定のプロバイダーのユーザーとグループのリストが表示されます。ここで、［<provider-type>］はプロバイダータイプを示す文字列のプレースホルダーで、［<provider-name>］は指定のプロバイダーに割り当てた名前のプレースホルダーです。

isi auth users list --provider="<provider-type>:<provider-name>"

2. 名前が Unix LDAP の LDAP プロバイダータイプのユーザーとグループを一覧表示するには、次の例に似たコマンドを実行します。

isi auth users list --provider="lsa-ldap-provider:Unix LDAP"

ローカルユーザーの作成各アクセスゾーンには、ローカルユーザーおよびグループを作成、管理できるローカルプロバイダーが含まれます。ローカルユーザーアカウントを作成すると、名前パスワード、ホームディレクトリ、UID（UNIX ユーザー識別子）、UNIX ログインシェル、グループメンバーシップを構成できます。手順

1. 次のコマンドを実行してローカルユーザーを作成します。ここで、［<name>］はユーザーの名前、［<provider-name>］はこのユーザーのプロバイダー、［<string>］はこのユーザーのパスワードです。

isi auth users create <name> --provider="local:<provider-name>" \ --password="<string>"

認証


パスワードを指定しないと、ユーザーアカウントは無効になります。ユーザーアカウントの作成時にパスワードを作成しない場合、後で isi auth users modify コマンドを実行して適切なユーザー（ユーザー名、UID、SID）を指定することでパスワードを追加できます。

ローカルグループの作成アクセスゾーンのローカルプロバイダー内で、グループを作成してメンバーを割り当てることができます。手順

1. 次のコマンドを実行してローカルグループを作成します。ここで、［<name>］と［<provider-name>］は、グループを定義するために指定する値です。

isi auth groups create <name> --provider "local:<provider-name>"

ローカルユーザーおよびグループの命名規則EMC Isilon クラスターの適切な認証およびアクセスのために、ローカルユーザーおよびグループ名は命名規則に従う必要があります。ローカルユーザーおよびグループを作成および変更する場合は、次の命名規則に従う必要があります。l 名前の最大レングスは 104文字である。名前は 64文字以下にすることをお勧めします。l 名前に次の無効な文字を含めることはできない：

" / \ [ ] : ; | = , + * ? < >l 名前には、無効な文字のリストにない任意の特殊文字を含めることができる。名前にはスペー

スを含めないことをお勧めします。l 名前は大文字と小文字が区別されません。

ローカルパスワードポリシーの構成と変更ローカルプロバイダーのローカルパスワードポリシーを構成して変更できます。

この手順は、CLI（コマンドラインインターフェイス）を介して実行する必要があります。

各アクセスゾーンで別個のパスワードポリシーが構成されます。クラスターの各アクセスゾーンには、ローカルプロバイダーの個別のインスタンスが含まれているため、各アクセスゾーンが、認証可能なローカルユーザーの独自のリストを持つことができます。パスワードの複雑さは、各ユーザーではなく各ローカルプロバイダーに対して構成されます。

手順1. クラスター内の任意のノードへの SSH接続を確立します。2. (オプション) 現在のパスワード設定を表示するには、次のコマンドを実行します。

isi auth local view system

認証

ローカルグループの作成 259

3. ローカルパスワードポリシーのデフォルト設定に記載のパラメーターを選択して isi authlocal modify コマンドを実行します。各設定で--password-complexityパラメーターを指定する必要があります。

isi auth local modify system --password-complexity=lowercase \ --password-complexity=uppercase -–password-complexity=numeric \ --password-complexity=symbol

次のコマンドは、ローカルプロバイダーのローカルパスワードポリシーを構成します。

isi auth local modify ［<provider-name>］ \ --min-password-length=20 \ --lockout-duration=20m \ --lockout-window=5m \ --lockout-threshold=5 \ --add-password-complexity=uppercase \ --add-password-complexity=numeric

ローカルパスワードポリシー設定ローカルパスワードポリシー設定を構成し、各設定のデフォルトを isi auth local modifyコマンドを使用して指定できます。パスワードを複雑にすると、攻撃者が正しいパスワードを特定する前にチェックするパスワードの数が増加します。

設定説明コメントmin-password-length パスワードの最小文字数。長いパスワードを推奨します。最小文字

数は、ユーザーがパスワードを入力または記憶することに困難を感じない程度の長さにします。

password-complexity 新しいパスワードに含める必要がある文字の種類のリスト。デフォルトでは、リストは空です。

指定できる文字の種類は 4 つあります。有効な文字の種類：l uppercase

l lowercase

l numeric

l symbol（#と@を除く）

min-password-age パスワードの最小有効期間。この値は、単位を示す英字を使用して設定できます（例：4週間は 4W、2日は 2d）。

パスワードの最小有効期間を設定すると、一時パスワードの入力直後に前のパスワードに変更することを禁止できます。この期間が経過する前のパスワードのチェックまたは設定の試みは拒否されます。

max-password-age パスワードの最大有効期間。この値は、単位を示す英字を使用して設定できます（例：4週間は 4W、2日は 2d）。

パスワードの有効期限終了後にログインを試みると、パスワードの変更を要求されます。パスワード変更ダイアログを表示できない場合、ログインは許可されません。

認証


設定説明コメントpassword-history-length

保持する履歴パスワードの数。新しいパスワードはこのリストに照らしてチェックされ、そのパスワードがすでに存在する場合は拒否されます。履歴の最大長は 24 です。

パスワードの再利用を避けるために、過去に使用されたパスワードをいくつ記憶するかを指定できます。新しいパスワードが、記憶されている過去のパスワードと一致する場合、そのパスワードは拒否されます。

lockout-duration 間違ったパスワードが特定の回数入力された後（回数は構成可能）、アカウントをロックするまでの時間の長さ（秒単位）。

アカウントがロックされると、ロック解除されるまですべてのソースでアカウントは使用不可になります。管理者がすべてのロック済みアカウントに対応しなくてもすむように、OneFS には 2 つの構成可能なオプションが用意されています。l アカウントがロック解除される前に経

過する必要がある時間を指定します。

l 指定された時間（秒単位）が経過した後、正しくないパスワード入力カウンターを自動的にリセットします。

lockout-threshold アカウントがロックされる前に試行できる正しくないパスワードの入力回数。 0 の値を指定するとアカウントのロックアウトが無効になります。

アカウントがロックされると、ロック解除されるまですべてのソースでアカウントは使用不可になります。

lockout-window 正しくないパスワード入力カウンターがリセットされるまでの経過時間。

正しくないパスワードの入力回数が構成済みの数値に達すると、アカウントはロックされる。アカウントがロックされる期間はlockout-duration で決定されます。 0

の値を指定すると、このウィンドウが無効になります。

ローカルユーザーの変更ユーザー名を除いてローカルユーザーアカウントのすべての設定を変更できます。手順

1. ローカルグループを変更するには、次のコマンドを実行します。ここで、［<name>］、［<gid>］、［<sid>］はユーザー識別子のプレースホルダーで、［<provider-name>］はユーザーに関連づけられたローカルプロバイダーの名前のプレースホルダーです。

isi auth users modify (<name> or --gid <gid> or --sid <sid>) \ --provider "local:<provider-name>"

ローカルグループの変更ローカルグループにメンバーを追加したり削除できます。

認証

ローカルユーザーの変更 261

手順1. ローカルグループを変更するには、次のコマンドを実行します。ここで、［<name>］、［<gid>］、［<sid>］はグループ識別子のプレースホルダーで、［<provider-name>］はグループに関連づけられたローカルプロバイダーの名前のプレースホルダーです。

isi auth groups modify (<name> or --gid <gid> or --sid <sid>) \ --provider "local:<provider-name>"

ローカルユーザーの削除削除されたユーザーは、コマンドラインインターフェイス、Web管理インターフェイス、ファイルアクセスプロトコルを介してクラスターにアクセスできなくなります。ローカルユーザーアカウントを削除してもホームディレクトリはそのまま残ります。手順

1. ローカルユーザーを削除するには、次のコマンドを実行します。ここで、［<uid>］と［<sid>］は削除するユーザーの UID と SID のプレースホルダーで、［<provider-name>］はユーザーに関連づけられたローカルプロバイダーのプレースホルダーです。

isi auth users delete <name> --uid <uid> --sid <sid> \ --provider "local:<provider-name>"

ローカルグループの削除ローカルグループは、メンバーが割り当てられている場合でも削除できます。グループを削除してもそのグループのメンバーは影響を受けません。手順

1. ローカルグループを削除するには次のコマンドを実行します。ここで、［<group>］は削除するグループの名前のプレースホルダーです。

isi auth groups delete <group>

コマンドは、［<group>］の代わりに［<gid>］または［<sid>］を使用して実行できます。

認証およびアクセス制御コマンド認証およびアクセス制御コマンドを使用して、クラスターへのアクセスを制御できます。

isi auth access

ユーザーが特定のファイルまたはディレクトリにアクセスするために持っている権限の一覧を表示します。

構文

isi auth access {［<user>］ | --uid ［<integer>］ | --sid ［<string>］} ［<path>］

認証


[--zone ［<string>］] [--share ［<string>］] [--numeric] [--verbose]

オプション［<user>］

ユーザー名を指定します。

--sid［<string>］SID でユーザーを指定します。


［<path>］/ifs の下にあるファイルまたはディレクトリのパスを指定します。

--zone［<string>］アクセスゾーンを指定します。

--share［<string>］共有構成とファイルやディレクトリへのアクセス情報をレポートするための SMB共有名を指定します。

{--numeric | -n}

ユーザーの数値識別子を表示します。

{--verbose | -v}


isi auth ads create

Active Directory プロバイダーを構成し、Active Directory ドメインを参加させます。

構文

isi auth ads create ［<name>］［<user>］ [--password ［<string>］] [--organizational-unit ［<string>］] [--kerberos-nfs-spn {yes | no} ] [--kerberos-hdfs-spn {yes | no} ] [--dns-domain ［<dns-domain>］] [--groupnet ［<groupnet>］] [--allocate-gids {yes | no}] [--allocate-uids {yes | no}] [--check-online-interval ［<duration>］] [--create-home-directory {yes | no}] [--domain-offline-alerts {yes | no}] [--findable-groups ［<string>］...] [--findable-users ［<string>］...] [--home-directory-template ［<path>］] [--ignore-all-trusts {yes | no}] [--ignored-trusted-domains ［<dns-domain>］...]

認証

isi auth ads create 263

[--include-trusted-domains ［<dns-domain>］...] [--machine-name ［<string>］] [--ldap-sign-and-seal {yes | no}] [--login-shell ［<path>］] [--lookup-domains ［<dns-domain>］...] [--lookup-groups {yes | no}] [--lookup-normalize-groups {yes | no}] [--lookup-normalize-users {yes | no}] [--lookup-users {yes | no}] [--machine-password-changes {yes | no}] [--machine-password-lifespan ［<duration>］] [--node-dc-affinity ［<string>］] [--node-dc-affinity-timeout ［<timestamp>］] [--nss-enumeration {yes | no}] [--restrict-findable {yes | no}] [--sfu-support {none | rfc2307}] [--store-sfu-mappings {yes | no}] [--unfindable-groups ［<string>］...] [--unfindable-users ［<string>］...] [--verbose]


IPv4 または IPv6 アドレスに解決できる完全修飾 Active Directory ドメイン名を指定します。このドメイン名はプロバイダー名としても使用されます。

［<user>］Active Directory ドメインにマシンアカウントを参加させる権限を持つアカウントのユーザー名を指定します。

--password［<string>］提供されたユーザーアカウントのパスワードを指定します。このオプションを省略した場合は、パスワードを指定するためのプロンプトが表示されます。

--organizational-unit［<string>］Active Directory サーバで接続に使用する OU（組織単位）の名前を指定します。OUはOuName または OuName1/SubName2 の形式で指定します。

--kerberos-nfs-spn {yes | no}

Kerberized NFS を使用するために SPN を追加するかどうかを指定します。

--kerberos-hdfs-spn {yes | no}

Kerberized HDFS を使用するために SPN を追加するかどうかを指定します。

--dns-domain［<dns-domain>］--name設定で指定されたドメインの代わりに使用する DNS検索ドメインを指定します。

--groupnet［<groupnet>］Active Directory プロバイダーによって参照されるグループネットを指定します。グループネットとは、DNS ネームサーバに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納する最上位レベルのネットワークコンテナーです。グループネットは、Active Directory プロバイダーが外部のサーバと通信するときに使用するネットワークのプロパティを指定します。

--allocate-gids {yes | no}

認証


マッピングされていない Active Directory グループの GID アロケーションを有効または無効にします。GIDなしの Active Directory グループは、GID が ID マッパーによりプロアクティブに割り当てられます。このオプションを無効にすると、GIDはプロアクティブに割り当てられません。ただし、ユーザーのプライマリグループに GID が含まれていない場合、システムが割り当てることがあります。

--allocate-uids {yes | no}

マッピングされていない Active Directory ユーザーの UID アロケーションを有効または無効にします。UIDなしの Active Directory ユーザーは、UID が ID マッパーによりプロアクティブに割り当てられます。このオプションを無効にすると、UIDはプロアクティブに割り当てられません。ただし、ユーザーの ID に UID が含まれていない場合、システムが割り当てることがあります。

--check-online-interval［<duration>］プロバイダーオンラインチェック間隔の時間を、<integer>{Y|M|W|D|H|m|s} の形式で指定します。

--create-home-directory {yes | no}

ユーザーのホームディレクトリがまだ存在しない場合に、ユーザーが最初にログインしたときにホームディレクトリを作成するかどうかを指定します。

--domain-offline-alerts {yes | no}

ドメインがオフラインになった場合、アラートを送信するかどうかを指定します。このオプションをyes に設定すると、通知がグローバル通知ルールに指定したとおりに送信されます。デフォルト値は no です。

--findable-groups［<string>］...

この認証プロバイダーで解決できるグループのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--findable-users［<string>］...

この認証プロバイダーで解決できるユーザーのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--home-directory-template［<path>］ホームディレクトリの作成時に使用するテンプレートパスを指定します。パスは/ifs で開始される必要があり、特定の変数を表し、ホームディレクトリの作成時に文字列と動的に置き換わる特殊文字シーケンスを含めることができます。たとえば、%U、%D、%Zはそれぞれユーザー名、プロバイダードメイン名、ゾーン名と置き換わります。詳細については、「ホームディレクトリ」セクションを参照してください。

Active Directory と Services for UNIX（SFU）を併用している場合は、Windows で作成されたディレクトリ名のスペースが、UNIX との互換性のためアンダースコアに変換されます。

--ignore-all-trusts {yes | no}

すべてのトラステッドドメインを無視するかどうかを指定します。

--ignored-trusted-domains［<dns-domain>］...

--ignore-all-trusts が無効の場合、無視するトラステッドドメインのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--include-trusted-domains［<dns-domain>］...

認証

isi auth ads create 265

--ignore-all-trusts が有効化されている場合に含めるトラステッドドメインのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--machine-name［<string>］コンピューターの一覧内のレコードとして認証プロバイダーに参加するために使用されるホスト名またはコンピューター名を指定します。

--ldap-sign-and-seal {yes | no}

ドメインコントローラへの LDAP リクエストで暗号化および署名を使用するかどうかを指定します。

--login-shell［<path>］Active Directory サーバーがログインシェルの情報を供給しない場合に使用するログインシェルのフルパスを指定します。この設定は、SSH経由でファイルシステムにアクセスするユーザーにのみ適用されます。

--lookup-domains［<string>］...

ユーザーとグループの検索が制限されるドメインのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--lookup-groups {yes | no}

GID を割り当てる前に、他のプロバイダーの Active Directory グループを検索するかどうかを指定します。

--lookup-normalize-groups {yes | no}

Active Directory グループ名を検索する前に、小文字に正規化するかどうかを指定します。

--lookup-normalize-users {yes | no}

Active Directory ユーザー名を検索する前に、小文字に正規化するかどうかを指定します。

--lookup-users {yes | no}

UID を割り当てる前に、他のプロバイダーの Active Directory ユーザーを検索するかどうかを指定します。

--machine-password-changes {yes | no}

セキュリティ上の目的でマシンアカウントパスワードの定期的な変更を有効化するかどうかを指定します。

--machine-password-lifespan［<duration>］マシンアカウントパスワードの最大期間を、<integer>{Y|M|W|D|H|m|s} の形式で設定します。

{--node-dc-affinity | -x} ［<string>］ノードが排他的に通信する（アフィニティ化する）必要のあるドメインコントローラを指定します。このオプションはタイムアウト値とともに使用する必要があり、--node-dc-affinity-timeout オプションを使用して構成できます。それ以外の場合、デフォルトではタイムアウト値として 30分が割り当てられます。

この設定はデバッグの目的であり、通常操作時は構成しないままにしておく必要があります。この機能を無効にするには、タイムアウト値として 0 を使用します。

認証


{--node-dc-affinity-timeout} ［<timestamp>］ドメインコントローラへのローカルノード親和性のタイムアウト設定を、［<YYYY>-<MM>-

<DD>］or the date/time format ［<YYYY>-<MM>-<DD>T［<hh>:<mm>[:<ss>] の日付形式で指定します。

この値を 0 に設定すると、親和性が無効になります。親和化が無効の場合、指定されたドメインコントローラとの通信が即座に終了しないことがあります。別のドメインコントローラが選択されるまで継続することがあります。

--nss-enumeration {yes | no}

Active Directory プロバイダーが getpwent および getgrent リクエストに応答することを許可するかどうかを指定します。

--restrict-findable {yes | no}

検索可能および検索不能なユーザーおよびグループのフィルター処理されたリストで認証プロバイダーをチェックするかどうかを指定します。

--sfu-support {none | rfc2307}

Windows ドメインコントローラで RFC 2307属性をサポートするかどうかを指定します。RFC2307は、Windows UNIX統合および SFU（Services For UNIX）テクノロジーに必須です。

--store-sfu-mappings {yes | no}

ID マッパーに SFU マッピングを永続的に格納するかどうかを指定します。

--unfindable-groups［<string>］...

この認証プロバイダーで解決できないグループのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unfindable-users［<string>］...

この認証プロバイダーで解決できないユーザーのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

{--verbose | -v}


isi auth ads delete

Active Directory プロバイダーを削除します。これには、プロバイダーが参加している ActiveDirectory ドメインから離れることが含まれます。 Active Directory ドメインから離れると、ドメインにアクセスしているユーザーに対するサービスが中断します。 Active Directory ドメインから離れた後は、ユーザーはクラスターからそのドメインにアクセスできなくなります。

構文

isi auth ads delete ［<provider-name>］[--force][--verbose]

認証

isi auth ads delete 267

オプション［<provider-name>］

削除するプロバイダーの名前を指定します。

{--force | -f}


{--verbose | -v}


例「some.domain.org」という名前の Active Directory ドメインから離れ、このドメインに関連づけられている認証プロバイダーを削除するには、次のコマンドを実行します。

isi auth ads delete some.domain.org

コマンドプロンプトで、「y」と入力します。

isi auth ads list

Active Directory プロバイダーのリストを表示します。

構文

isi auth ads list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]





{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


認証


例クラスターが参加しているすべての Active Directory プロバイダーのリストを表示するには、次のコマンドを実行します。

isi auth ads list


Name Authentication Status DC Name Site--------------------------------------------------------AD.EAST.EMC.COM Yes online - BOSAD.NORTH.EMC.COM Yes online - VANAD.SOUTH.EMC.COM No online - TIJAD.WEST.EMC.COM Yes online - SEA--------------------------------------------------------Total: 4

isi auth ads modify

Active Directory認証プロバイダーを変更します。

構文

isi auth ads modify ［<provider-name>］ [--reset-schannel {yes | no}] [--domain-controller ［<string>］] [--allocate-gids {yes | no}] [--allocate-uids {yes | no}] [--check-online-interval ［<duration>］] [--create-home-directory {yes | no}] [--domain-offline-alerts {yes | no}] [--findable-groups ［<string>］...] [--clear-findable-groups] [--add-findable-groups ［<string>］...] [--remove-findable-groups ［<string>］...] [--findable-users ［<string>］...] [--clear-findable-users] [--add-findable-users ［<string>］...] [--remove-findable-users ［<string>］...] [--home-directory-template ［<path>］] [--ignore-all-trusts {yes | no}] [--ignored-trusted-domains ［<dns-domain>］] [--clear-ignored-trusted-domains] [--add-ignored-trusted-domains ［<dns-domain>］] [--remove-ignored-trusted-domains ［<dns-domain>］] [--include-trusted-domains ［<dns-domain>］] [--clear-include-trusted-domains] [--add-include-trusted-domains ［<dns-domain>］] [--remove-include-trusted-domains ［<dns-domain>］] [--machine-name ［<string>］] [--ldap-sign-and-seal {yes | no}] [--node-dc-affinity ［<string>］] [--node-dc-affinity-timeout ［<timestamp>］] [--login-shell ［<path>］] [--lookup-domains ［<dns-domain>］] [--clear-lookup-domains] [--add-lookup-domains ［<dns-domain>］] [--remove-lookup-domains ［<dns-domain>］] [--lookup-groups {yes | no}] [--lookup-normalize-groups {yes | no}]

認証

isi auth ads modify 269

[--lookup-normalize-users {yes | no}][--lookup-users {yes | no}][--machine-password-changes {yes | no}][--machine-password-lifespan ［<duration>］][--nss-enumeration {yes | no}][--restrict-findable {yes | no}][--sfu-support {none | rfc2307}][--store-sfu-mappings {yes | no}][--unfindable-groups ［<string>］...][--clear-unfindable-groups][--add-unfindable-groups ［<string>］...][--remove-unfindable-groups ［<string>］...][--unfindable-users ［<string>］...][--clear-unfindable-users][--add-unfindable-users ［<string>］...][--remove-unfindable-users ［<string>］...][--verbose]


Active Directory プロバイダーが参加しているドメイン名を指定します。これは ActiveDirectory プロバイダー名でもあります。

--reset-schannel {yes | no}

プライマリドメインへのセキュアなチャネルをリセットします。

--domain-controller［<dns-domain>］ドメインコントローラを指定します。

--allocate-gids {yes | no}

マッピングされていない Active Directory グループの GID アロケーションを有効または無効にします。GIDなしの Active Directory グループは、GID が ID マッパーによりプロアクティブに割り当てられます。このオプションを無効化すると、GIDはプロアクティブに割り当てられません。ただし、ユーザーのプライマリグループに GID が含まれていない場合、システムが割り当てることがあります。

--allocate-uids {yes | no}

マッピングされていない Active Directory ユーザーの UID アロケーションを有効または無効にします。UIDなしの Active Directory ユーザーは、UID が ID マッパーによりプロアクティブに割り当てられます。このオプションを無効化すると、UIDはプロアクティブに割り当てられません。ただし、ユーザーの ID に UID が含まれていない場合、システムが割り当てることがあります。

--check-online-interval［<duration>］プロバイダーオンラインチェック間隔の時間を、<integer>{Y|M|W|D|H|m|s} の形式で指定します。



--domain-offline-alerts {yes | no}

ドメインがオフラインになった場合、アラートを送信するかどうかを指定します。このオプションをyes に設定すると、通知がグローバル通知ルールに指定したとおりに送信されます。デフォルト値は no です。

認証


--findable-groups［<string>］...

この認証プロバイダーで解決できるグループのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--clear-findable-groups検索可能グループのリストからすべてのエントリーを削除します。

--add-findable-groups［<string>］...

この認証プロバイダーで解決できるグループのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-findable-groups［<string>］...

この認証プロバイダーで解決できるグループのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--findable-users［<string>］...

この認証プロバイダーで解決できるユーザーのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--clear-findable-users検索可能ユーザーのリストからすべてのエントリーを削除します。

--add-findable-users［<string>］...

この認証プロバイダーで解決できるユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-findable-users［<string>］...

この認証プロバイダーで解決できるユーザーのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--home-directory-template［<path>］ホームディレクトリの作成時に使用するテンプレートパスを指定します。パスは/ifs で開始される必要があり、特定の変数を表し、ホームディレクトリの作成時に文字列と動的に置き換わる特殊文字シーケンスを含めることができます。たとえば、［%U］、［%D］、［%Z］はそれぞれユーザー名、プロバイダードメイン名、ゾーン名と置き換わります。詳細については、「ホームディレクトリ」セクションを参照してください。

Active Directory と Services for UNIX（SFU）を併用している場合は、Windows で作成されたディレクトリ名のスペースが、UNIX との互換性のためアンダースコアに変換されます。

--ignore-all-trusts {yes | no}

すべてのトラステッドドメインを無視するかどうかを指定します。

--ignored-trusted-domains［<dns-domain>］--ignore-all-trusts が無効の場合、無視するトラステッドドメインのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--clear-ignored-trusted-domains--ignore-all-trusts が無効化されている場合に無視するトラステッドドメインのリストをクリアします。

認証


--add-ignored-trusted-domains［<dns-domain>］--ignore-all-trusts が無効化されている場合に無視するトラステッドドメインのリストにドメインを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-ignored-trusted-domains［<dns-domain>］--ignore-all-trusts が無効化されている場合に無視するトラステッドドメインのリストから指定されたドメインを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--include-trusted-domains［<dns-domain>］--ignore-all-trusts が有効化されている場合に含めるトラステッドドメインのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--clear-include-trusted-domains--ignore-all-trusts が有効化されている場合に含めるトラステッドドメインのリストをクリアします。

--add-include-trusted-domains［<dns-domain>］--ignore-all-trusts が有効化されている場合に含めるトラステッドドメインのリストにドメインを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-include-trusted-domains［<dns-domain>］--ignore-all-trusts が有効化されている場合に含めるトラステッドドメインのリストから指定されたドメインを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--machine-name［<string>］コンピューターの一覧内のレコードとして認証プロバイダーに参加するために使用されるホスト名またはコンピューター名を指定します。

--ldap-sign-and-seal {yes | no}

ドメインコントローラへの LDAP リクエストで暗号化および署名を使用するかどうかを指定します。

{--node-dc-affinity | -x} ［<string>］ノードが排他的に通信する（アフィニティ化する）必要のあるドメインコントローラを指定します。このオプションはタイムアウト値とともに使用する必要があり、--node-dc-affinity-timeout オプションを使用して構成できます。それ以外の場合、デフォルトではタイムアウト値として 30分が割り当てられます。

この設定はデバッグの目的であり、通常操作時は構成しないままにしておく必要があります。この機能を無効にするには、タイムアウト値として 0 を使用します。

{--node-dc-affinity-timeout} ［<timestamp>］ドメインコントローラへのローカルノード親和性のタイムアウト設定を、［<YYYY>-<MM>-

<DD>］ or the date/time format ［<YYYY>-<MM>-<DD>T<hh>:<mm>］[:<ss>] の日付形式で指定します。

認証


この値を 0 に設定すると、親和性が無効になります。親和化が無効の場合、指定されたドメインコントローラとの通信が即座に終了しないことがあります。別のドメインコントローラが選択されるまで継続することがあります。

--login-shell［<path>］Active Directory サーバがログインシェルの情報を供給しない場合に使用するログインシェルのパスを指定します。この設定は、SSH経由でファイルシステムにアクセスするユーザーにのみ適用されます。

--lookup-domains［<string>］ユーザーとグループの検索が制限されるドメインのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--clear-lookup-domainsユーザーとグループの検索用の制限されたドメインのリストをクリアします。

--add-lookup-domains［<string>］ユーザーとグループの検索に使用するドメインの制限リストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-lookup-domains［<string>］ユーザーとグループの検索に使用するドメインのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--lookup-groups {yes | no}

GID を割り当てる前に、他のプロバイダーの Active Directory グループを検索するかどうかを指定します。

--lookup-normalize-groups {yes | no}

Active Directory グループ名を検索する前に、小文字に正規化するかどうかを指定します。

--lookup-normalize-users {yes | no}

Active Directory ユーザー名を検索する前に、小文字に正規化するかどうかを指定します。

--lookup-users {yes | no}

UID を割り当てる前に、他のプロバイダーの Active Directory ユーザーを検索するかどうかを指定します。

--machine-password-changes {yes | no}

セキュリティ上の目的でマシンアカウントパスワードの定期的な変更を有効化するかどうかを指定します。

--machine-password-lifespan［<duration>］マシンアカウントパスワードの最大期間を、<integer>{Y|M|W|D|H|m|s} の形式で設定します。

--nss-enumeration {yes | no}

Active Directory プロバイダーが getpwent および getgrent リクエストに応答することを許可するかどうかを指定します。


認証


検索可能および検索不能なユーザーおよびグループのフィルター処理されたリストで認証プロバイダーをチェックするかどうかを指定します。

--sfu-support {none | rfc2307}

ドメインコントローラで RFC 2307属性をサポートするかどうかを指定します。RFC 2307は、Windows UNIX統合および SFU（Services For UNIX）テクノロジーに必須です。

--store-sfu-mappings {yes | no}

ID マッパーに SFU マッピングを永続的に格納するかどうかを指定します。

--unfindable-groups［<string>］...

この認証プロバイダーで解決できないグループのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--clear-unfindable-groups検索不能グループのリストからすべてのエントリーを削除します。

--add-unfindable-groups［<string>］...

この認証プロバイダーで解決できないグループのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-unfindable-groups［<string>］...

この認証プロバイダーで解決できないグループのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unfindable-users［<string>］...

この認証プロバイダーで解決できないユーザーのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--clear-unfindable-users検索不能ユーザーのリストからすべてのエントリーを削除します。

--add-unfindable-users［<string>］...

この認証プロバイダーで解決できないユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-unfindable-users［<string>］...

この認証プロバイダーで解決できないユーザーのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

{--verbose | -v}


isi auth ads view

Active Directory プロバイダーのプロパティを表示します。

構文

isi auth ads view ［<provider-name>］ [--verbose]

認証



表示するプロバイダーの名前を指定します。

{--verbose | -v}


isi auth ads spn check

有効な SPN（サービスプリンシパル名）をチェックします。

構文

isi auth ads spn check ［<provider-name>］


Active Directory プロバイダー名を指定します。

isi auth ads spn create

マシンアカウントに 1 つ以上の SPN（サービスプリンシパル名）を追加します。SPNは、クライアントが使用できるようにすべてのドメインコントローラーに伝播する必要があります。

構文

isi auth ads spn create ［<provider-name>］ [--user ［<string>］] [--password ［<string>］]



{--user | -U} ［<string>］Active Directory ドメイン内の SPN を作成する権限を持つ管理ユーザーアカウント名を指定します。

{--password | -P} ［<string>］管理ユーザーアカウントパスワードを指定します。

isi auth ads spn delete

マシンアカウントに対して登録されている 1 つ以上の SPN を削除します。

認証

isi auth ads spn check 275

構文

isi auth ads spn delete ［<provider-name>］ [--user ［<string>］] [--password ［<string>］]



{--user | -U} ［<string>］Active Directory ドメイン内の SPN を変更する権限を持つ管理ユーザーアカウント名を指定します。

{--password | -P} ［<string>］管理ユーザーアカウントパスワードを指定します。

isi auth ads spn fix

Active Directory プロバイダーの欠落 SPN（サービスプリンシパル名）を追加します。

構文

isi auth ads spn fix ［<provider-name>］ [--spn ［<string>］] [--user ［<string>］] [--password ［<string>］]



--spn［<string>］サービスプリンシパル名を指定します。

--user［<string>］Active Directory ドメインの SPN を追加する権限を持つ管理ユーザーアカウント名を指定します。

--password［<string>］管理ユーザーアカウントパスワードを指定します。

isi auth ads spn list

マシンアカウントに対して登録されている SPN（サービスプリンシパル名）の一覧を表示します。

認証


構文

isi auth ads spn list ［<provider-name>］[--limit ［<integer>］][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]






{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi auth ads trusts controllers list

トラステッドドメインのドメインコントローラーの一覧を表示します。

構文

isi auth ads trusts controllers list ［<provider>］[--limit ［<integer>］][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]

オプション［<provider>］

Active Directory プロバイダーを指定します。




認証

isi auth ads trusts controllers list 277

{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


例次のコマンドを実行すると、「ad.isilon.com」という名前の Active Directory プロバイダーのトラステッドドメインの一覧が表示されます。

isi auth ads trusts controllers list ad.isilon.com

isi auth ads trusts list

トラステッドドメインの一覧を表示します。

構文

isi auth ads trusts list ［<provider>］



isi auth ads trusts view

トラステッドドメインのプロパティを表示します。

構文

isi auth ads trusts view ［<provider>］［<domain>］



［<domain>］表示するトラステッドドメインを指定します。

isi auth error

認証ログファイルのエラーコード定義を表示します。

認証


構文

isi auth error ［<error-code>］

オプション［<error-code>］

変換するエラーコードを指定します。

例エラーコード 4 の定義を表示するには、次のコマンドを実行します。

isi auth error 4


4 = ERROR_TOO_MANY_OPEN_FILES

isi auth file create

ファイルプロバイダーを作成します。

構文

isi auth file create ［<name>］ [--password-file ［<path>］] [--group-file ［<path>］] [--authentication {yes | no}] [--create-home-directory {yes | no}] [--enabled {yes | no}] [--enumerate-groups {yes | no}] [--enumerate-users {yes | no}] [--findable-groups ［<string>］] [--findable-users ［<string>］] [--group-domain ［<string>］] [--home-directory-template ［<path>］] [--listable-groups ［<string>］] [--listable-users ［<string>］] [--login-shell ［<path>］] [--modifiable-groups ［<string>］] [--modifiable-users ［<string>］] [--netgroup-file ［<path>］] [--normalize-groups {yes | no}] [--normalize-users {yes | no}] [--ntlm-support {all | v2only | none}] [--provider-domain ［<string>］] [--restrict-findable {yes | no}] [--restrict-listable {yes | no}] [--restrict-modifiable {yes | no}] [--unfindable-groups ［<string>］] [--unfindable-users ［<string>］] [--unlistable-groups ［<string>］] [--unlistable-users ［<string>］] [--unmodifiable-groups ［<string>］] [--unmodifiable-users ［<string>］]

認証

isi auth file create 279

[--user-domain ［<string>］] [--verbose]


ファイルプロバイダー名を設定します。

--password-file［<path>］passwd.db置き換えファイルへのパスを指定します。

--group-file［<path>］group置き換えファイルへのパスを指定します。

--authentication {yes | no}

認証および ID のためのプロバイダーの使用を有効または無効にします。デフォルト値は yesです。



--enabled {yes | no}

プロバイダーを有効または無効にします。

--findable-groups［<string>］--restrict-findable が有効化されている場合にこのプロバイダーで検索可能なグループのリストを指定します。このオプションを追加の検索可能グループごとに繰り返します。追加された場合、このリストに含まれていないグループは解決できません。

--findable-users［<string>］--restrict-findable が有効化されている場合にこのプロバイダーで検索可能なユーザーのリストを指定します。このオプションを追加の検索可能なユーザーごとに繰り返します。追加された場合、このリストに含まれていないユーザーは解決できません。

--group-domain［<string>］このプロバイダーがグループの認定に使用するドメインを指定します。デフォルトのグループドメインは FILE_GROUPS です。

--home-directory-template［<path>］ホームディレクトリの命名用のテンプレートとして使用するパスを指定します。パスは/ifs で開始する必要があり、特定の変数を表し、ホームディレクトリの作成時に文字列と動的に置き換わる特殊文字シーケンスを含めることができます。たとえば、［%U］、［%D］、［%Z］はそれぞれユーザー名、プロバイダードメイン名、ゾーン名と置き換わります。詳細については、「ホームディレクトリ」セクションを参照してください。

--listable-groups［<string>］--restrict-listable が有効化されている場合にリストできるグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。使用中の場合、このリストに含まれていないグループはリストできません。

--listable-users［<string>］

認証


--restrict-listable が有効化されている場合にこのプロバイダーにリストできるユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。使用中の場合、このリストに含まれていないユーザーはリストできません。

--login-shell［<path>］ユーザーのログインシェルへのパスを指定します。この設定は、SSH経由でファイルシステムにアクセスするユーザーにのみ適用されます。

--modifiable-groups［<string>］--restrict-modifiable が有効化されている場合にこのプロバイダーで変更できるグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないグループは変更できません。

--modifiable-users［<string>］--restrict-modifiable が有効化されている場合にこのプロバイダーで変更できるユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないユーザーは変更できません。

--netgroup-file［<path>］netgroup置き換えファイルへのパスを指定します。

--normalize-groups {yes | no}

検索の前にグループ名を小文字に正規化します。

--normalize-users {yes | no}

検索の前にユーザー名を小文字に正規化します。

--ntlm-support {all | v2only | none}

NTLM互換の認証情報を持つユーザーには、サポートする NTLMバージョンを指定します。有効な値は all、v2only、none です。NTLMv2は NTLM上で追加のセキュリティを提供します。

--provider-domain［<string>］このプロバイダーがユーザー名およびグループ名の認定に使用するドメインを指定します。


検索可能および検索不能なユーザーおよびグループのフィルター処理されたリストでプロバイダーをチェックするかどうかを指定します。

--restrict-listable {yes | no}

リスト可能およびリスト不能なユーザーおよびグループのフィルター処理されたリストでプロバイダーをチェックするかどうかを指定します。

--restrict-modifiable {yes | no}

変更可能および変更不能なユーザーおよびグループのフィルター処理されたリストでプロバイダーをチェックするかどうかを指定します。

--unfindable-groups［<string>］--restrict-findable が有効化され、検索可能グループリストが空の場合は、このプロバイダーで解決できないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unfindable-users［<string>］

認証

isi auth file create 281

--restrict-findable が有効化され、検索可能ユーザーリストが空の場合は、このプロバイダーで解決できないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unlistable-groups［<string>］--restrict-listable が有効化され、リスト可能グループリストが空の場合は、このプロバイダーでリストできないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unlistable-users［<string>］--restrict-listable が有効化され、リスト可能ユーザーリストが空の場合は、このプロバイダーでリストできないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unmodifiable-groups［<string>］--restrict-modifiable が有効化され、変更可能グループリストが空の場合は、変更できないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unmodifiable-users［<string>］--restrict-modifiable が有効化され、変更可能ユーザーリストが空の場合は、変更できないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--user-domain［<string>］このプロバイダーがユーザーの認定に使用するドメインを指定します。デフォルトのユーザードメインは FILE_USERS です。

{--verbose | -v}


isi auth file delete

ファイルプロバイダーを削除します。

構文

isi auth file delete ［<provider-name>］ [--force] [--verbose]



{--force | -f}


{--verbose | -v}


認証


isi auth file list

ファイルプロバイダーの一覧を表示します。

構文

isi auth file list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]





{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi auth file modify

ファイルプロバイダーを変更します。

構文

isi auth file modify ［<provider-name>］ [--name ［<string>］] [--password-file ［<path>］] [--group-file ［<path>］] [--authentication {yes | no}] [--create-home-directory {yes | no}] [--enabled {yes | no}] [--enumerate-groups {yes | no}] [--enumerate-users {yes | no}] [--findable-groups ［<string>］] [--clear-findable-groups] [--add-findable-groups ［<string>］] [--remove-findable-groups ［<string>］] [--findable-users ［<string>］] [--clear-findable-users] [--add-findable-users ［<string>］] [--remove-findable-users ［<string>］] [--group-domain ［<string>］] [--home-directory-template ［<path>］]

認証

isi auth file list 283

[--listable-groups ［<string>］] [--clear-listable-groups] [--add-listable-groups ［<string>］] [--remove-listable-groups ［<string>］] [--listable-users ［<string>］] [--clear-listable-users] [--add-listable-users ［<string>］] [--remove-listable-users ［<string>］] [--login-shell ［<path>］] [--modifiable-groups ［<string>］] [--clear-modifiable-groups] [--add-modifiable-groups ［<string>］] [--remove-modifiable-groups ［<string>］] [--modifiable-users ［<string>］] [--clear-modifiable-users] [--add-modifiable-users ［<string>］] [--remove-modifiable-users ［<string>］] [--netgroup-file ［<path>］] [--normalize-groups {yes | no}] [--normalize-users {yes | no}] [--ntlm-support {all | v2only | none}] [--provider-domain ［<string>］] [--restrict-findable {yes | no}] [--restrict-listable {yes | no}] [--restrict-modifiable {yes | no}] [--unfindable-groups ［<string>］] [--clear-unfindable-groups] [--add-unfindable-groups ［<string>］] [--remove-unfindable-groups ［<string>］] [--unfindable-users ［<string>］] [--clear-unfindable-users] [--add-unfindable-users ［<string>］] [--remove-unfindable-users ［<string>］] [--unlistable-groups ［<string>］] [--clear-unlistable-groups] [--add-unlistable-groups ［<string>］] [--remove-unlistable-groups ［<string>］] [--unlistable-users ［<string>］] [--clear-unlistable-users] [--add-unlistable-users ［<string>］] [--remove-unlistable-users ［<string>］] [--unmodifiable-groups ［<string>］] [--clear-unmodifiable-groups] [--add-unmodifiable-groups ［<string>］] [--remove-unmodifiable-groups ［<string>］] [--unmodifiable-users ［<string>］] [--clear-unmodifiable-users] [--add-unmodifiable-users ［<string>］] [--remove-unmodifiable-users ［<string>］] [--user-domain ［<string>］] [--verbose]


変更するファイルプロバイダーの名前を指定します。この設定は変更できません。

--name［<string>］認証プロバイダーの新しい名前を指定します。

認証


--password-file ［<path>］passwd.db置き換えファイルへのパスを指定します。




--cache-entry-expiry［<duration>］キャッシュエントリーの使用期間が終了するまでの時間の長さを、<integer>[{Y | M | W |D | H | m | s}] の形式で指定します。キャッシュ有効期限を無効にするには、この値を off に設定します。





--enumerate-groups {yes | no}

プロバイダーがグループを列挙することを許可するかどうかを指定します。

--enumerate-users {yes | no}

プロバイダーがユーザーを列挙することを許可するかどうかを指定します。

--findable-groups［<string>］--restrict-findable が有効化されている場合にプロバイダーで検索できるグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。使用中の場合、このリストに含まれていないグループは解決できません。このオプションは、検索可能グループリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-findable-groups または--remove-findable-groups を使用します。

--clear-findable-groups検索可能グループのリストからすべてのエントリーを削除します。

--add-findable-groups［<string>］--restrict-findable が有効化されている場合にチェックされる検索可能グループのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-findable-groups［<string>］--restrict-findable が有効化されている場合にチェックされる検索可能グループのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--findable-users［<string>］--restrict-findable が有効化されている場合にプロバイダーで検索できるユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。使用中の場合、このリストに含まれていないユーザーは解決できません。このオプションは、検索可能ユ

認証

isi auth file modify 285

ーザーリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-findable-users または--remove-findable-users を使用します。


--add-findable-users［<string>］--restrict-findable が有効化されている場合にチェックされる検索可能ユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-findable-users［<string>］--restrict-findable が有効化されている場合にチェックされる検索可能ユーザーのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--group-domain［<string>］プロバイダーがグループの認定に使用するドメインを指定します。デフォルトのグループドメインは FILE_GROUPS です。


--home-directory-template［<path>］ホームディレクトリの命名用のテンプレートとして使用するパスを指定します。パスは/ifs で開始される必要があり、特定の変数を表し、ホームディレクトリの作成時に文字列と動的に置き換わる特殊文字シーケンスを含めることができます。たとえば、［%U］、［%D］、［%Z］はそれぞれユーザー名、プロバイダードメイン名、ゾーン名と置き換わります。詳細については、「ホームディレクトリ」セクションを参照してください。

--listable-groups［<string>］--restrict-listable が有効化されている場合にプロバイダーで表示できるグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。使用中の場合、このリストに含まれていないグループは表示できません。このオプションは、リスト可能グループリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-listable-groups または--remove-listable-groups を使用します。

--clear-listable-groups表示可能グループのリストからすべてのエントリーを削除します。

--add-listable-groups［<string>］--restrict-listable が有効化されている場合にチェックされる表示可能グループのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-listable-groups［<string>］--restrict-listable が有効化されている場合にチェックされる表示可能グループのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--listable-users［<string>］

認証


--restrict-listable が有効化されている場合にプロバイダーで表示できるユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。使用中の場合、このリストに含まれていないユーザーは表示できません。このオプションは、リスト可能ユーザーリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-listable-users または--remove-listable-users を使用します。

--clear-listable-users表示可能ユーザーのリストからすべてのエントリーを削除します。

--add-listable-users［<string>］--restrict-listable が有効化されている場合にチェックされる表示可能ユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-listable-users［<string>］--restrict-listable が有効化されている場合にチェックされる表示可能ユーザーのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。


--modifiable-groups［<string>］--restrict-modifiable が有効化されている場合に変更できるグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないグループは変更できません。このオプションは、変更可能グループリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-modifiable-groups または--remove-modifiable-groups を使用します。

--clear-modifiable-groups変更可能グループのリストからすべてのエントリーを削除します。

--add-modifiable-groups［<string>］--restrict-modifiable が有効化されている場合にチェックされる変更可能グループのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-modifiable-groups［<string>］--restrict-modifiable が有効化されている場合にチェックされる変更可能グループのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--modifiable-users［<string>］--restrict-modifiable が有効化されている場合に変更できるユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないユーザーは変更できません。このオプションは、変更可能ユーザーリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-modifiable-users または--remove-modifiable-users を使用します。

認証


--clear-modifiable-users変更可能ユーザーのリストからすべてのエントリーを削除します。

--add-modifiable-users［<string>］--restrict-modifiable が有効化されている場合にチェックされる変更可能ユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-modifiable-users［<string>］--restrict-modifiable が有効化されている場合にチェックされる変更可能ユーザーのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--netgroup-file［<path>］netgroup置き換えファイルへのパスを指定します。






NTLM互換の認証情報を持つユーザーには、サポートする NTLMバージョンを指定します。有効な値は all、v2only、none です。NTLMv2は NTLM上に追加のセキュリティを提供し、推奨されます。

--password-file［<path>］passwd.db置き換えファイルへのパスを指定します。

--provider-domain［<string>］プロバイダーがユーザー名およびグループ名の認定に使用するドメインを指定します。


検索可能および検索不能なユーザーおよびグループのフィルター処理されたリストでこのプロバイダーをチェックするかどうかを指定します。


表示可能および表示不能なユーザーおよびグループのフィルター処理されたリストでこのプロバイダーをチェックするかどうかを指定します。

--restrict-modifiable {yes | no}

変更可能および変更不能なユーザーおよびグループのフィルター処理されたリストでこのプロバイダーをチェックするかどうかを指定します。

--unfindable-groups［<string>］--restrict-findable が有効化され、検索可能グループリストが空の場合は、このプロバイダーで解決できないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、検索不能グループリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-unfindable-groups または--remove-unfindable-groups を使用します。

--clear-unfindable-groups

認証


検索不能グループのリストからすべてのエントリーを削除します。

--add-unfindable-groups［<string>］--restrict-findable が有効化されている場合にチェックされる検索不能グループのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-unfindable-groups［<string>］--restrict-findable が有効化されている場合にチェックされる検索不能グループのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unfindable-users［<string>］--restrict-findable が有効化され、検索可能ユーザーリストが空の場合は、このプロバイダーで解決できないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、検索不能ユーザーリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-unfindable-users または--remove-unfindable-users を使用します。

--clear-unfindable-users検索不能グループのリストからすべてのエントリーを削除します。

--add-unfindable-users［<string>］--restrict-findable が有効化されている場合にチェックされる検索不能ユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-unfindable-users［<string>］--restrict-findable が有効化されている場合にチェックされる検索不能ユーザーのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unlistable-groups［<string>］--restrict-listable が有効化され、表示可能グループリストが空の場合は、このプロバイダーでリストできないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、リスト不能グループリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-unlistable-groups または--remove-unlistable-groups を使用します。

--clear-unlistable-groups表示不能グループのリストからすべてのエントリーを削除します。

--add-unlistable-groups［<string>］--restrict-listable が有効化されている場合にチェックされる表示不能グループのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-unlistable-groups［<string>］--restrict-listable が有効化されている場合にチェックされる表示不能グループのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

認証


--unlistable-users［<string>］--restrict-listable が有効化され、表示可能ユーザーリストが空の場合は、このプロバイダーでリストできないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、リスト不能ユーザーリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-unlistable-users または--remove-unlistable-users を使用します。

--clear-unlistable-users表示不能ユーザーのリストからすべてのエントリーを削除します。

--add-unlistable-users［<string>］--restrict-listable が有効化されている場合にチェックされる表示不能ユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-unlistable-users［<string>］--restrict-listable が有効化されている場合にチェックされる表示不能ユーザーのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unmodifiable-groups［<string>］--restrict-modifiable が有効化され、変更可能グループリストが空の場合は、変更できないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、このプロバイダーの変更不能グループリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-unmodifiable-groups または--remove-unmodifiable-groups を使用します。

--clear-unmodifiable-groups変更不能グループのリストからすべてのエントリーを削除します。

--add-unmodifiable-groups［<string>］--restrict-modifiable が有効化されている場合にチェックされる変更不能グループのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-unmodifiable-groups［<string>］--restrict-modifiable が有効化されている場合にチェックされる変更不能グループのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unmodifiable-users［<string>］--restrict-modifiable が有効化され、変更可能ユーザーリストが空の場合は、変更できないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、このプロバイダーの変更不能ユーザーリスト内の既存のエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-unmodifiable-users または--remove-unmodifiable-users を使用します。

--clear-unmodifiable-users変更不能ユーザーのリストからすべてのエントリーを削除します。

認証


--add-unmodifiable-users［<string>］--restrict-modifiable が有効化されている場合にチェックされる変更不能ユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-unmodifiable-users［<string>］--restrict-modifiable が有効化されている場合にチェックされる変更不能ユーザーのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--user-domain［<string>］このプロバイダーがユーザーの認定に使用するドメインを指定します。デフォルトのユーザードメインは FILE_USERS です。

{--verbose | -v}


isi auth file view

ファイルプロバイダーのプロパティを表示します。

構文

isi auth file view ［<provider-name>］



isi auth groups create

ローカルグループを作成します。

構文

isi auth groups create ［<name>］ [--gid ［<integer>］] [--add-user ［<name>］] [--add-uid ［<integer>］] [--add-sid ［<string>］ [--add-wellknown ［<name>］] [--sid ［<string>］] [--zone ［<string>］] [--provider ［<string>］] [--verbose] [--force]


グループ名を指定します。

認証

isi auth file view 291

--gid［<integer>］UNIX GID（グループ識別子）の自動アロケーションを指定した値で上書きします。このオプションを設定することは推奨されません。

--add-user［<name>］グループに追加するユーザーの名前を指定します。複数のユーザーを指定するには、このオプションを繰り返します。

--add-uid［<integer>］グループに追加するユーザーの UID を指定します。複数のユーザーを指定するには、このオプションを繰り返します。

--add-sid［<string>］グループに追加するユーザーの SID を指定します。複数のユーザーを指定するには、このオプションを繰り返します。

--add-wellknown［<name>］グループに追加する既知のペルソナの名前を指定します。複数のペルソナを指定するには、このオプションを繰り返します。

--sid［<string>］グループのWindows SID（セキュリティ識別子）を設定します。たとえば、S-1-5-21-13などです。

--zone［<string>］グループを作成するアクセスゾーンを指定します。

--provider［<string>］指定されたアクセスゾーンのローカル認証プロバイダーを指定します。

{--verbose | -v}


{--force | -f}


isi auth groups delete

システムからローカルグループを削除します。グループのメンバーは、グループが削除される前に削除されます。

構文

isi auth groups delete {［<group>］ | --gid ［<integer>］ | --sid ［<string>］} [--zone ［<string>］] [--provider ［<string>］] [--force] [--verbose]

オプションこのコマンドには、［<group>］、--gid［<integer>］、または--sid［<string>］が必要です。［<group>］

認証


名前でグループを指定します。


［<group>］--sid［<string>］

SID でグループを指定します。

--zone［<string>］グループを含むアクセスゾーンの名前を指定します。

--provider［<string>］グループの認証プロバイダーを指定します。

{--force | -f}


{--verbose | -v}


isi auth groups flush

キャッシュされたグループ情報をフラッシュします。

構文



例キャッシュされたすべてのグループ情報をフラッシュするには、次のコマンドを実行します。


isi auth groups list

グループの一覧を表示します。

構文

isi auth groups list [--domain ［<string>］] [--zone ［<string>］] [--provider ［<string>］] [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

認証

isi auth groups flush 293

オプション--domain［<string>］

プロバイダードメインを指定します。


--provider［<string>］認証プロバイダーを指定します。




{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi auth groups members list

グループに関連づけられているメンバーの一覧を表示します。

構文

isi auth groups members list {［<group>］ | --gid ［<integer>］ | --sid ［<string>］} [--zone ［<string>］] [--provider ［<string>］] [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]




--sid［<string>］SID でグループを指定します。

認証







{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi auth groups modify

ローカルグループを変更します。

構文

isi auth groups modify {［<group>］ | --gid ［<integer>］ | --sid ［<string>］} [--new-gid ［<integer>］] [--add-uid ［<integer>］] [--remove-uid ［<integer>］] [--add-user ［<name>］] [--remove-user ［<name>］] [--add-sid ［<string>］] [--remove-sid ［<string>］] [--add-wellknown ［<name>］] [--remove-wellknown ［<name>］] [--zone ［<string>］] [--provider ［<string>］] [--verbose] [--force]




--sid［<string>］

認証

isi auth groups modify 295

SID でグループを指定します。

--new-gid［<integer>］グループの新しい GID を指定します。このオプションを設定することは推奨されません。

--add-uid［<integer>］グループに追加するユーザーの UID を指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-uid［<integer>］グループから削除するユーザーの UID を指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--add-user［<name>］グループに追加するユーザーの名前を指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-user［<name>］グループから削除するユーザーの名前を指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--add-sid［<string>］グループに追加するオブジェクトの SID を指定します。たとえば S-1-5-21-13などです。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-sid［<string>］グループから削除するオブジェクトの SID を指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--add-wellknown［<name>］グループに追加する一般的な SID を指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-wellknown［<name>］グループから削除する一般的な SID を指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--zone［<string>］グループのアクセスゾーンを指定します。

--provider［<string>］グループの認証プロバイダーを指定します。

{--verbose | -v}


{--force | -f}


isi auth groups view

履歴 SID（セキュリティ識別子）の情報を含めたグループのプロパティを表示します。

認証


構文

isi auth groups view {［<group>］ | --gid ［<integer>］ | --sid ［<string>］} [--cached] [--provider ［<string>］] [--show-groups] [--zone ［<string>］]

オプション［<group>］



--sid［<string>］SID でグループを指定します。

--cachedキャッシュされた情報を表示します。

--provider［<string>］認証プロバイダーの名前を指定します。

--show-groupsこのグループをメンバーとして含むグループを表示します。


isi auth id

アクセストークンを表示します。

構文

isi auth id


isi auth krb5 create

MIT Kerberos プロバイダーを作成し、ユーザーをMIT Kerberos領域に参加させます。

構文

isi auth krb5 create ［<realm>］ {［<user>］ | --keytab-file ［<string>］ } [--password ［<string>］] [--spn［<string>］] [--groupnet ［<groupnet>］]

認証

isi auth id 297

[--is-default-realm {yes | no}] [--kdc ［<string>］] [--admin-server ［<string>］] [--default-domain ［<string>］] [--verbose]

オプション［<realm>］

Kerberos領域名を指定します。

［<user>］Kerberos領域で SPN（サービスプリンシパル名）の作成権限を持つユーザーの名前を指定します。

--keytab-file［<string>］インポートするキータブファイルを指定します。

--password［<string>］Kerberos領域への参加に使用するパスワードを指定します。

--spn［<string>］登録する SPN を指定します。登録する追加の SPN ごとに--spn を指定します。

--groupnet［<groupnet>］Kerberos プロバイダーによって参照されるグループネットを指定します。グループネットとは、DNS ネームサーバーに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納する最上位レベルのネットワークコンテナーです。グループネットは、Kerberos プロバイダーが外部のサーバーと通信するときに使用するネットワークのプロパティを指定します。

--is-default-realm {yes | no}

Kerberos領域がデフォルトかどうかを指定します。

--kdc［<string>］KDC（キー配布センター）のホスト名、IPv4 アドレス、IPv6 アドレスのいずれかを指定します。領域に追加する追加の KDC ごとに--kdc を指定します。

--admin-server［<string>］管理サーバー（マスター KDC）のホスト名、IPv4 アドレス、IPv6 アドレスのいずれかを指定します。

--default-domain［<string>］Kerberos v4 プリンシパル名の変換に使用される Kerberos領域のデフォルトの Kerberosドメインを指定します。

{--verbose | -v}


isi auth krb5 delete

MIT Kerberos認証プロバイダーを削除し、MIT Kerberos領域からユーザーを削除します。

認証


構文

isi auth krb5 delete ［<provider-name>］ [--force]


Kerberos プロバイダー名を指定します。

{--force | -f}

確認を求めないことを指定します。

isi auth krb5 list

MIT Kerberos認証プロバイダーの一覧を表示します。

構文

isi auth krb5 list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer]


表示する Kerberos プロバイダー数を指定します。

--format table{json | csv | list | }

Kerberos プロバイダーを表形式、JSON、CSV、リスト形式で表示することを指定します。

{--no-header | -a}

CSV または表形式でヘッダーを表示しないことを指定します。

{--no-footer | -z}

表サマリーのフッター情報を表示しないことを指定します。

isi auth krb5 view

MIT Kerberos認証プロバイダーのプロパティを表示します。

構文

isi auth krb5 view ［<provider-name>］



認証

isi auth krb5 list 299

isi auth krb5 domain create

MIT Kerberos ドメインマッピングを作成します。

構文

isi auth krb5 domain create ［<domain>］ [--realm ［<string>］]

オプション［<domain>］

Kerberos ドメインの名前を指定します。

--realm［<string>］Kerberos領域の名前を指定します。

isi auth krb5 domain delete

MIT Kerberos ドメインマッピングを削除します。

構文

isi auth krb5 domain delete ［<domain>］ [--force]


Kerberos ドメインの名前を指定します。

{--force | -f}


isi auth krb5 domain list

MIT Kerberos ドメインマッピングの一覧を表示します。

構文

isi auth krb5 domain list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer]


表示する Kerberos ドメインマッピング数を指定します。


認証


Kerberos ドメインマッピングを表形式、JSON、CSV、リスト形式のいずれで表示するかを指定します。

{--no-header | -a}


{--no-footer | -z}


isi auth krb5 domain modify

MIT Kerberos ドメインマッピングを変更します。

構文

isi auth krb5 domain modify ［<domain>］ [--realm ［<string>］]


Kerberos ドメイン名を指定します。

--realm［<string>］Kerberos領域名を指定します。

isi auth krb5 domain view

MIT Kerberos ドメインマッピングのプロパティを表示します。

構文

isi auth krb5 domain view ［<domain>］


Kerberos ドメイン名を指定します。

isi auth krb5 realm create

MIT Kerberos領域を作成します。

構文

isi auth krb5 realm create ［<realm>］ [--is-default-realm {yes | no}] [--kdc ［<string>］] [--admin-server ［<string>］] [--default-domain ［<string>］]

認証

isi auth krb5 domain modify 301


Kerberos領域の名前を指定します。


Kerberos領域がデフォルト領域になるかどうかを指定します。



--default-domain［<string>］v4 プリンシパル名の変換に使用される領域のデフォルトのドメインを指定します。

isi auth krb5 realm delete

MIT Kerberos領域を削除します。

構文

isi auth krb5 realm delete ［<realm>］ [--force]



{--force | -f}


isi auth krb5 realm modify

MIT Kerberos領域を変更します。

構文

isi auth krb5 realm modify ［<realm>］ [--is-default-realm {yes | no}] [--kdc ［<string>］] [--admin-server ［<string>］] [--default-domain ［<string>］]




認証


Kerberos領域がデフォルトかどうかを指定します。



--default-domain［<string>］v4 プリンシパル名の変換に使用される Kerberos領域のデフォルトのドメインを指定します。

isi auth krb5 realm list

MIT Kerberos領域の一覧を表示します。

構文

isi auth krb5 realm list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer]


表示する Kerberos領域数を指定します。


Kerberos領域を表形式、JSON、CSV、リスト形式のいずれで表示するかを指定します。

{--no-header | -a}


{--no-footer | -z}


isi auth krb5 realm view

MIT Kerberos領域のプロパティを表示します。

構文

isi auth krb5 realm view ［<realm>］



認証

isi auth krb5 realm list 303

isi auth krb5 spn create

MIT Kerberos プロバイダーのキーを作成または更新します。

構文

isi auth krb5 spn create ［<provider-name>］［<user>］［<spn>］ [--password ［<string>］]



［<user>］Kerberos領域で SPN（サービスプリンシパル名）の作成権限を持つユーザー名を指定します。

［<spn>］SPN を指定します。

--password［<string>］Kerberos領域の変更時に使用したパスワードを指定します。

isi auth krb5 spn delete

MIT Kerberos プロバイダーからキーを削除します。

構文

isi auth krb5 spn delete ［<provider-name>］［<spn>］ {［<kvno>］ | --all}



［<spn>］SPN（サービスプリンシパル名）を指定します。

［<kvno>］キーのバージョン番号を指定します。

--allすべてのキーバージョンを削除します。

isi auth krb5 spn check

MIT Kerberos プロバイダーの欠落 SPN（サービスプリンシパル名）をチェックします。

認証


構文

isi auth krb5 spn check ［<provider-name>］



isi auth krb5 spn fix

MIT Kerberos プロバイダーの欠落 SPN（サービスプリンシパル名）を追加します。

構文

isi auth krb5 spn fix ［<provider-name>］［<user>］ [--password ［<string>］] [--force]



［<user>］特定の Kerberos ドメインにクライアントを参加させる権限を持つユーザー名を指定します。

--password［<string>］Kerberos領域を変更する際に使用されたパスワードを指定します。

{--force | -f}


isi auth krb5 spn import

MIT Kerberos プロバイダーのキータブファイルからキーをインポートします。

構文

isi auth krb5 spn import ［<provider-name>］［<keytab-file>］



［<keytab-file>］インポートするキータブファイルを指定します。

認証

isi auth krb5 spn fix 305

isi auth krb5 spn list

MIT Kerberos プロバイダーに対して登録されている SPN（サービスプリンシパル名）とキーの一覧を表示します。

構文

isi auth krb5 spn list ［<provider-name>］ [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer]



{--limit | -l} ［<integer>］表示する SPN とキーの数を指定します。


SPN とキーを表形式、JSON、CSV、リスト形式で表示することを指定します。

{--no-header | -a}


{--no-footer | -z}


isi auth ldap create

LDAP プロバイダーを作成します。

構文

isi auth ldap create ［<name>］ [--base-dn ［<string>］] [--server-uris ［<string>］] [--alternate-security-identities-attribute ［<string>］] [--authentication {yes | no}] [--balance-servers {yes | no}] [--bind-dn ［<string>］] [--bind-timeout ［<integer>］] [--certificate-authority-file ［<string>］] [--check-online-interval ［<duration>］] [--cn-attribute ［<string>］] [--create-home-directory {yes | no}] [--crypt-password-attribute ［<string>］] [--email-attribute ［<string>］] [--enabled {yes | no}] [--enumerate-groups {yes | no}] [--enumerate-users {yes | no}] [--findable-groups ［<string>］] [--findable-users ［<string>］]

認証


[--gecos-attribute ［<string>］] [--gid-attribute ［<string>］] [--group-base-dn ［<string>］] [--group-domain ［<string>］] [--group-filter ［<string>］] [--group-members-attribute ［<string>］] [--group-search-scope ［<scope>］] [--home-directory-template ［<string>］] [--homedir-attribute ［<string>］] [--ignore-tls-errors {yes | no}] [--listable-groups ［<string>］] [--listable-users ［<string>］] [--login-shell ［<string>］] [--member-of-attribute ［<string>］] [--name-attribute ［<string>］] [--netgroup-base-dn ［<string>］] [--netgroup-filter ［<string>］] [--netgroup-members-attribute ［<string>］] [--netgroup-search-scope ［<scope>］] [--netgroup-triple-attribute ［<string>］] [--normalize-groups {yes | no}] [--normalize-users {yes | no}] [--nt-password-attribute ［<string>］] [--ntlm-support {all | v2only | none}] [--provider-domain ［<string>］] [--require-secure-connection {yes | no}] [--restrict-findable {yes | no}] [--restrict-listable {yes | no}] [--search-scope ［<scope>］] [--search-timeout ［<integer>］] [--shell-attribute ［<string>］] [--uid-attribute ［<string>］] [--unfindable-groups ［<string>］] [--unfindable-users ［<string>］] [--unique-group-members-attribute ［<string>］] [--unlistable-groups ［<string>］] [--unlistable-users ［<string>］] [--user-base-dn ［<string>］] [--user-domain ［<string>］] [--user-filter ［<string>］] [--user-search-scope ［<scope>］] [--groupnet ［<groupnet>］] [--template {default | rfc2307 | ad-idmu | ldapsam} [--bind-password ［<string>］] [--set-bind-password] [--verbose]


LDAP プロバイダー名を設定します。

--base-dn［<string>］ID を検索するツリーのルートを設定します。例：CN=Users,DC=mycompany,DC=com

--server-uris［<string>］サーバへのアクセス時に使用する LDAP サーバの URI のリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

認証

isi auth ldap create 307

セキュリティで保護された LDAP の場合は ldaps://<server>:<port>、セキュリティで保護されていない LDAP の場合は ldap://<server>:<port> の形式で LDAP サーバ URI を指定します。サーバは、IPv4 アドレス、IPv6 アドレス、ホスト名のいずれかとして指定できます。ポート番号を指定しない場合、デフォルトポートが使用されます。セキュリティで保護されたLDAP の場合は 389、セキュリティで保護されていない LDAP の場合は 636 です。

セキュリティで保護されていない LDAP を指定した場合、バインドパスワードは平文でサーバに送信されます。

--alternate-security-identities-attribute［<string>］代替のセキュリティ ID の検索時に使用する名前を指定します。この名前は、OneFS がユーザーへの Kerberos プリンシパルを解決するときに使用されます。



--balance-servers {yes | no}

プロバイダーをリクエストごとのランダムサーバに接続させます。

--bind-dn［<string>］LDAP サーバへのバインド時に使用する識別名を指定します。例：CN=myuser,CN=Users,DC=mycompany,DC=com

--bind-timeout［<integer>］LDAP サーバへのバインド時のタイムアウトを秒数で指定します。

--certificate-authority-file［<path>］ルート証明書ファイルへのパスを指定します。

--check-online-interval［<duration>］プロバイダーオンラインチェック間隔の時間を、<integer>[{Y | M | W | D | H | m | s}] の形式で指定します。

--cn-attribute［<string>］共通名を含む LDAP属性を指定します。デフォルト値は cn です。


ユーザーのホームディレクトリがまだ存在しない場合に、ユーザーが最初にログインしたときにホームディレクトリを自動的に作成するかどうかを指定します。

--crypt-password-attribute［<string>］UNIXパスワードを含む LDAP属性を指定します。この設定のデフォルト値はありません。

--email-attribute［<string>］メールアドレスを含む LDAP属性を指定します。デフォルト値は mail です。



認証






--findable-groups［<string>］--restrict-findable が有効化されている場合にこのプロバイダーで検索可能なグループのリストを指定します。このオプションを追加の検索可能グループごとに繰り返します。追加された場合、このリストに含まれていないグループは解決できません。

--findable-users［<string>］--restrict-findable が有効化されている場合にこのプロバイダーで検索可能なユーザーのリストを指定します。このオプションを追加の検索可能なユーザーごとに繰り返します。追加された場合、このリストに含まれていないユーザーは解決できません。

--gecos-attribute［<string>］GECOS フィールドを含む LDAP属性を指定します。デフォルト値は gecos です。

--gid-attribute［<string>］GID を含む LDAP属性を指定します。デフォルト値は gidNumber です。

--group-base-dn［<string>］グループの LDAP検索を開始するエントリーの識別名を指定します。

--group-domain［<string>］プロバイダーがグループの認定に使用するドメインを指定します。デフォルトのグループドメインは LDAP_GROUPS です。

--group-filter［<string>］グループオブジェクトの LDAP フィルターを設定します。

--group-members-attribute［<string>］グループメンバーを含む LDAP属性を指定します。デフォルト値は memberUid です。

--group-search-scope［<scope>］グループの LDAP検索を実行するベース DN（識別名）からのデフォルトの深さを定義します。次の値が有効です。［default］

--search-scope の設定を適用します。

--search-scope=default を指定することはできません。たとえば、--group-search-scope=default を指定した場合、検索範囲は --search-scope の値に設定されます。

［base］ベース DN にあるエントリーのみを検索します。

認証


［onelevel］ベース DN の正確に 1 レベル下のすべてのエントリーを検索します。

［subtree］ベース DN とその下のすべてのエントリーを検索します。

［children］ベース DN の下のすべてのエントリー（ベース DN を除く）を検索します。

--home-directory-template［<path>］ホームディレクトリの命名用のテンプレートとして使用するパスを指定します。パスは/ifs で開始する必要があり、特定の変数を表し、ホームディレクトリの作成時に文字列と動的に置き換わる特殊文字シーケンスを含めることができます。たとえば、%U、%D、%Zはそれぞれユーザー名、プロバイダードメイン名、ゾーン名と置き換わります。ホームディレクトリ変数の詳細については、「ホームディレクトリ」を参照してください。

--homedir-attribute［<string>］ホームディレクトリを含む LDAP属性を指定します。デフォルト値は homeDirectory です。

--ignore-tls-errors {yes | no}

ID チェックに失敗した場合でもセキュアな接続を継続します。

--listable-groups［<string>］--restrict-listable が有効化されている場合にこのプロバイダーで表示可能なグループのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないグループは表示できません。

--listable-users ［<string>］--restrict-listable が有効化されている場合にこのプロバイダーで表示可能なユーザーのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないユーザーは表示できません。

--login-shell［<path>］SSH経由でファイルシステムにアクセスするユーザーのログインシェルのパス名を指定します。

--member-of-attribute［<string>］LDAP のリバースメンバーシップの検索時に使用される属性を設定します。この LDAP値は、POSIX ユーザーがメンバーであるグループを記述する、ユーザータイプの posixAccount の属性である必要があります。

--name-attribute［<string>］ログイン名として使用される UID を含む LDAP属性を指定します。デフォルト値は uid です。

--netgroup-base-dn［<string>］ネットグループの LDAP検索を開始するエントリーの識別名を指定します。

--netgroup-filter［<string>］ネットグループオブジェクトの LDAP フィルターを設定します。

--netgroup-members-attribute［<string>］

認証


ネットグループメンバーを含む LDAP属性を指定します。デフォルト値はmemberNisNetgroup です。

--netgroup-search-scope［<scope>］ネットグループの LDAP検索を実行するベース DN（識別名）からの深さを定義します。次の値が有効です。［default］

--search-scope の設定を適用します。

--search-scope=default を指定することはできません。たとえば、--group-search-scope=default を指定した場合、検索範囲は --search-scope の値に設定されます。





--netgroup-triple-attribute［<string>］ネットグループトリプルを含む LDAP属性を指定します。デフォルト値はnisNetgroupTriple です。





--nt-password-attribute［<string>］Windowsパスワードを含む LDAP属性を指定します。よく使用される値はntpasswdhash です。


NTLM互換の認証情報を持つユーザーには、サポートする NTLMバージョンを指定します。

--provider-domain［<string>］このプロバイダーがユーザー名およびグループ名の認定に使用するドメインを指定します。

--require-secure-connection {yes | no}

TLS接続が必要かどうかを指定します。


認証


検索可能および検索不能なユーザーおよびグループのフィルター処理されたリストでプロバイダーをチェックするかどうかを指定します。


リスト可能およびリスト不能なユーザーおよびグループのフィルター処理されたリストでプロバイダーをチェックするかどうかを指定します。

--search-scope［<scope>］LDAP検索を実行するベース DN（識別名）からのデフォルトの深さを定義します。次の値が有効です。［base］

ベース DN にあるエントリーのみを検索します。



［children］ベース DN自体を除いて、ベース DN の下のすべてのエントリーを検索します。

--search-timeout ［<integer>］再試行を中止して検索に失敗するまでの秒数を指定します。デフォルト値は 100 です。

--shell-attribute［<string>］ユーザーの UNIX ログインシェルを含む LDAP属性を指定します。デフォルト値はloginShell です。

--uid-attribute［<string>］UID番号を含む LDAP属性を指定します。デフォルト値は uidNumber です。

--unfindable-groups［<string>］--restrict-findable が有効化され、検索可能グループリストが空の場合は、このプロバイダーで解決できないグループのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unfindable-users［<string>］--restrict-findable が有効化され、検索可能ユーザーリストが空の場合は、このプロバイダーで解決できないユーザーのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unique-group-members-attribute［<string>］ユニークグループメンバーを含む LDAP属性を指定します。この属性は、LDAP サーバーに対してユーザー名ではなくユーザーの DN でクエリーが行われた場合に、ユーザーが所属するグループの決定に使用されます。この設定のデフォルト値はありません。

--unlistable-groups［<string>］--restrict-listable が有効化され、リスト可能グループリストが空の場合は、このプロバイダーでリストできないグループのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

認証


--unlistable-users［<string>］--restrict-listable が有効化され、リスト可能ユーザーリストが空の場合は、このプロバイダーでリストできないユーザーのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--user-base-dn［<string>］ユーザーの LDAP検索を開始するエントリーの識別名を指定します。

--user-domain［<string>］プロバイダーがユーザーを修飾するために使用するドメインを指定します。デフォルトのユーザードメインは LDAP_USERS です。

--user-filter［<string>］ユーザーオブジェクトの LDAP フィルターを設定します。

--user-search-scope［<scope>］ユーザーの LDAP検索を実行するベース DN（識別名）からの深さを定義します。次の値が有効です。［default］

デフォルトのクエリー設定で定義されている検索範囲を適用します。





--groupnet［<groupnet>］LDAP プロバイダーによって参照されるグループネットを指定します。グループネットとは、DNSネームサーバに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納する最上位レベルのネットワークコンテナーです。グループネットは、LDAP プロバイダーが外部のサーバと通信するときに使用するネットワークのプロパティを指定します。

--template {default | rfc-2307 | ad-idmu | ldapsam}

LDAP プロバイダーを構成するために使用するテンプレートを指定します。テンプレートでは、あらかじめ属性が選択されています。テンプレートは次のとおりです。RFC 2307、ActiveDirectory Identity Management for UNIX（ad-idmu）、LDAP for Samba（ldapsam）。

--bind-password［<string>］LDAP サーバへのバインド時に使用される識別名のパスワードを設定します。対話形式でパスワードを設定するには、代わりに--set-bind-password オプションを使用します。

--set-bind-passwordLDAP サーバへのバインド時に使用される識別名のパスワードを対話形式で設定します。このオプションは、--bind-password とともに使用することはできません。

認証


{--verbose | -v}


isi auth ldap delete

LDAP プロバイダーを削除します。

構文

isi auth ldap delete ［<provider-name>］ [--force] [--verbose]



{--force | -f}


［<provider-name>］削除するプロバイダーの名前を指定します。

{--verbose | -v}


isi auth ldap list

LDAP プロバイダーの一覧を表示します。

構文

isi auth ldap list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]





{--no-header | -a}


{--no-footer | -z}


認証


{--verbose | -v}


isi auth ldap modify

LDAP プロバイダーを変更します。

構文

isi auth ldap modify ［<provider-name>］ [--name ［<string>］] [--base-dn ［<string>］] [--server-uris ［<string>］] [--clear-server-uris] [--add-server-uris ［<string>］] [--remove-server-uris ［<string>］] [--alternate-security-identities-attribute ［<string>］] [--authentication {yes | no}] [--balance-servers {yes | no}] [--bind-dn ［<string>］] [--bind-timeout ［<integer>］] [--certificate-authority-file ［<string>］] [--check-online-interval ［<duration>］] [--cn-attribute ［<string>］] [--create-home-directory {yes | no}] [--crypt-password-attribute ［<string>］] [--email-attribute ［<string>］] [--enabled {yes | no}] [--enumerate-groups {yes | no}] [--enumerate-users {yes | no}] [--findable-groups ［<string>］] [--clear-findable-groups] [--add-findable-groups ［<string>］] [--remove-findable-groups ［<string>］] [--findable-users ［<string>］] [--clear-findable-users] [--add-findable-users ［<string>］] [--remove-findable-users ［<string>］] [--gecos-attribute ［<string>］] [--gid-attribute ［<string>］] [--group-base-dn ［<string>］] [--group-domain ［<string>］] [--group-filter ［<string>］] [--group-members-attribute ［<string>］] [--group-search-scope ［<scope>］] [--homedir-attribute ［<string>］] [--home-directory-template ［<string>］] [--ignore-tls-errors {yes | no}] [--listable-groups ［<string>］] [--clear-listable-groups] [--add-listable-groups ［<string>］] [--remove-listable-groups ［<string>］] [--listable-users ［<string>］] [--clear-listable-users] [--add-listable-users ［<string>］] [--remove-listable-users ［<string>］] [--login-shell ［<string>］] [--member-of-attribute ［<string>］] [--name-attribute ［<string>］]

認証

isi auth ldap modify 315

[--netgroup-base-dn ［<string>］] [--netgroup-filter ［<string>］] [--netgroup-members-attribute ［<string>］] [--netgroup-search-scope ［<scope>］] [--netgroup-triple-attribute ［<string>］] [--normalize-groups {yes | no}] [--normalize-users {yes | no}] [--nt-password-attribute ［<string>］] [--ntlm-support {all | v2only | none}] [--provider-domain ［<string>］] [--require-secure-connection {yes | no}] [--restrict-findable {yes | no}] [--restrict-listable {yes | no}] [--search-scope ［<scope>］] [--search-timeout ［<integer>］] [--shell-attribute ［<string>］] [--uid-attribute ［<string>］] [--unfindable-groups ［<string>］] [--clear-unfindable-groups] [--add-unfindable-groups ［<string>］] [--remove-unfindable-groups ［<string>］] [--unfindable-users ［<string>］] [--clear-unfindable-users] [--add-unfindable-users ［<string>］] [--remove-unfindable-users ［<string>］] [--unique-group-members-attribute ［<string>］] [--unlistable-groups ［<string>］] [--clear-unlistable-groups] [--add-unlistable-groups ［<string>］] [--remove-unlistable-groups ［<string>］] [--unlistable-users ［<string>］] [--clear-unlistable-users] [--add-unlistable-users ［<string>］] [--remove-unlistable-users ［<string>］] [--user-base-dn ［<string>］] [--user-domain ［<string>］] [--user-filter ［<string>］] [--user-search-scope ［<scope>］] [--template {default | rfc2307 | ad-idmu | ldapsam} [--bind-password ［<string>］] [--set-bind-password] [--verbose]


変更する LDAP プロバイダーの名前を指定します。


--base-dn［<string>］ID を検索するツリーのルートを設定します。例：CN=Users,DC=mycompany,DC=com

--server-uris［<string>］サーバへのアクセス時に使用する LDAP サーバの URI のリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

認証


セキュリティで保護された LDAP の場合は ldaps://<server>:<port>、セキュリティで保護されていない LDAP の場合は ldap://<server>:<port> の形式で LDAP サーバ URI を指定します。サーバは、IPv4 アドレス、IPv6 アドレス、ホスト名のいずれかとして指定できます。ポート番号を指定しない場合、デフォルトポートが使用されます。セキュリティで保護されたLDAP の場合は 389、セキュリティで保護されていない LDAP の場合は 636 です。

セキュリティで保護されていない LDAP を指定した場合、バインドパスワードは平文でサーバに送信されます。

--clear-server-urisサーバ URI のリストからすべてのエントリーを削除します。

--add-server-uris［<string>］サーバ URI のリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加するサーバは、IPv4 アドレス、IPv6 アドレス、ホスト名のいずれかとして指定できます。

--remove-server-uris［<string>］サーバ URI のリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。削除するサーバは、IPv4 アドレス、IPv6 アドレス、ホスト名のいずれかとして指定できます。

--alternate-security-identities-attribute［<string>］代替のセキュリティ ID の検索時に使用する名前を指定します。この名前は、OneFS がユーザーへの Kerberos プリンシパルを解決するときに使用されます。


認証および ID のためのこのプロバイダーの使用を有効または無効にします。デフォルト値はyes です。


このプロバイダーをリクエストごとのランダムサーバに接続させます。

--bind-dn［<string>］LDAP サーバへのバインド時に使用する識別名を指定します。例：CN=myuser,CN=Users,DC=mycompany,DC=com

--bind-timeout［<integer>］LDAP サーバへのバインド時のタイムアウトを秒数で指定します。

--certificate-authority-file［<path>］ルート証明書ファイルへのパスを指定します。


--cn-attribute［<string>］

認証


共通名を含む LDAP属性を指定します。デフォルト値は cn です。--create-home-directory {yes | no}

ユーザーのホームディレクトリがまだ存在しない場合に、ユーザーが最初にログインしたときにホームディレクトリを作成するかどうかを指定します。ディレクトリパスは、--home-directory-template コマンドを使用してパステンプレートで指定されます。

--crypt-password-attribute［<string>］UNIXパスワードを含む LDAP属性を指定します。この設定のデフォルト値はありません。

--email-attribute［<string>］メールアドレスを含む LDAP属性を指定します。デフォルト値は mail です。


このプロバイダーを有効または無効にします。





--findable-groups［<string>］--restrict-findable が有効化されている場合にこのプロバイダーで検索可能なグループのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。使用中の場合、このリストに含まれていないグループはこのプロバイダーで解決できません。このオプションは、検索可能グループリストのエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-findable-groups または--remove-findable-groups を使用します。

--clear-findable-groups検索可能グループのリストを削除します。



--findable-users［<string>］--restrict-findable が有効化されている場合にこのプロバイダーで検索可能なユーザーのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。使用中の場合、このリストに含まれていないユーザーはこのプロバイダーで解決できません。このオプションは、検索可能ユーザーリストのエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-findable-users または--remove-findable-users を使用します。

--clear-findable-users検索可能ユーザーのリストを削除します。

認証




--gecos-attribute［<string>］GECOS フィールドを含む LDAP属性を指定します。デフォルト値は gecos です。

--gid-attribute［<string>］GID を含む LDAP属性を指定します。デフォルト値は gidNumber です。

--group-base-dn［<string>］グループの LDAP検索を開始するエントリーの識別名を指定します。

--group-domain［<string>］このプロバイダーがグループの認定に使用するドメインを指定します。デフォルトのグループドメインは LDAP_GROUPS です。

--group-filter［<string>］グループオブジェクトの LDAP フィルターを設定します。

--group-members-attribute［<string>］グループメンバーを含む LDAP属性を指定します。デフォルト値は memberUid です。

--group-search-scope［<scope>］グループの LDAP検索を実行するベース DN（識別名）からのデフォルトの深さを定義します。次の値が有効です。［default］

設定を--search-scope に適用します。

--search-scope=default を指定することはできません。たとえば、--group-search-scope=default を指定すると、検索範囲は --search-scope の値に設定されます。




認証



--home-directory-template［<path>］ホームディレクトリの命名用のテンプレートとして使用するパスを指定します。パスは/ifs で開始する必要があり、特定の変数を表し、ホームディレクトリの作成時に文字列と動的に置き換わる特殊文字シーケンスを含めることができます。たとえば、%U、%D、%Zはそれぞれユーザー名、プロバイダードメイン名、ゾーン名と置き換わります。詳細については、「ホームディレクトリ」セクションを参照してください。

--homedir-attribute［<string>］ホームディレクトリの検索時に使用する LDAP属性を指定します。デフォルト値はhomeDirectory です。

--ignore-tls-errors {yes | no}

ID チェックに失敗した場合でもセキュアな接続を継続します。

--listable-groups［<string>］--restrict-listable が有効化されている場合にこのプロバイダーで表示可能なグループのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。使用中の場合、このリストに含まれていないグループはこのプロバイダーで表示できません。このオプションは、リスト可能グループリストのエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-listable-groups または--remove-listable-groups を使用します。


--add-listable-groups［<string>］--restrict-listable が有効化されている場合にチェックされるリスト可能グループのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。


--listable-users［<string>］--restrict-listable が有効化されている場合にこのプロバイダーで表示可能なユーザーのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。使用中の場合、このリストに含まれていないユーザーはこのプロバイダーで表示できません。このオプションは、リスト可能ユーザーリストのエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-listable-users または--remove-listable-users を使用します。


--add-listable-users［<string>］

認証


--restrict-listable が有効化されている場合にチェックされるリスト可能ユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。


--login-shell［<path>］SSH経由でファイルシステムにアクセスするユーザーのログインシェルのパス名を指定します。

--member-of-attribute［<string>］LDAP のリバースメンバーシップの検索時に使用される属性を設定します。この LDAP値は、POSIX ユーザーがメンバーであるグループを記述する、ユーザータイプの posixAccount の属性である必要があります。

--name-attribute［<string>］ログイン名として使用される UID を含む LDAP属性を指定します。デフォルト値は uid です。

--netgroup-base-dn［<string>］ネットグループの LDAP検索を開始するエントリーの識別名を指定します。

--netgroup-filter［<string>］ネットグループオブジェクトの LDAP フィルターを設定します。

--netgroup-members-attribute［<string>］ネットグループメンバーを含む LDAP属性を指定します。デフォルト値はmemberNisNetgroup です。

--netgroup-search-scope［<scope>］ネットグループの LDAP検索を実行するベース DN（識別名）からの深さを定義します。次の値が有効です。［default］


--search-scope=default を指定することはできません。たとえば、--group-search-scope=default を指定すると、検索範囲は --search-scope の値に設定されます。




認証



--netgroup-triple-attribute［<string>］ネットグループトリプルを含む LDAP属性を指定します。デフォルト値はnisNetgroupTriple です。





--nt-password-attribute［<string>］Windowsパスワードを含む LDAP属性を指定します。よく使用される値はntpasswdhash です。


NTLM互換の認証情報を持つユーザーには、サポートする NTLMバージョンを指定します。次の値が有効です。allv2onlynone


--require-secure-connection {yes | no}

TLS接続が必要かどうかを指定します。





--search-scope［<scope>］LDAP検索を実行するベース DN（識別名）からのデフォルトの深さを定義します。次の値が有効です。［base］

ベース DN にあるエントリーのみを検索します。



認証



--search-timeout［<integer>］再試行を中止して検索に失敗するまでの秒数を指定します。デフォルト値は 100 です。

--shell-attribute［<string>］ユーザーの UNIX ログインシェルの検索時に使用する LDAP属性を指定します。デフォルト値は loginShell です。

--uid-attribute［<string>］UID番号を含む LDAP属性を指定します。デフォルト値は uidNumber です。

--unfindable-groups［<string>］--restrict-findable が有効化されている場合にプロバイダーで検索できないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、検索不能グループリストのエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-unfindable-groups または--remove-unfindable-groups を使用します。




--unfindable-users［<string>］--restrict-findable が有効化されている場合にプロバイダーで検索できないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、検索不能ユーザーリストのエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-unfindable-users または--remove-unfindable-users を使用します。



--remove-unfindable-users［<string>］

認証


--restrict-findable が有効化されている場合にチェックされる検索不能ユーザーのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unique-group-members-attribute［<string>］ユニークグループメンバーを含む LDAP属性を指定します。この属性は、LDAP サーバーに対してユーザー名ではなくユーザーの DN でクエリーが行われた場合に、ユーザーが所属するグループの決定に使用されます。この設定のデフォルト値はありません。

--unlistable-groups［<string>］--restrict-listable が有効化されている場合にプロバイダーでリストできないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、リスト不能グループリストのエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-unlistable-groups または--remove-unlistable-groups を使用します。

--clear-unlistable-groups表示不能グループのリストからすべてのエントリーを削除します。



--unlistable-users［<string>］--restrict-listable が有効化されている場合にこのプロバイダーに表示できないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、リスト不能ユーザーリストのエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-unlistable-users または--remove-unlistable-users を使用します。


--add-unlistable-users［<string>］--restrict-listable が有効化されている場合にチェックされる表示不能ユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。


--user-base-dn［<string>］ユーザーの LDAP検索を開始するエントリーの識別名を指定します。

--user-domain［<string>］

認証


このプロバイダーがユーザーの認定に使用するドメインを指定します。デフォルトのユーザードメインは LDAP_USERS です。

--user-filter［<string>］ユーザーオブジェクトの LDAP フィルターを設定します。

--user-search-scope［<scope>］ユーザーの LDAP検索を実行するベース DN（識別名）からの深さを定義します。有効な値は次のとおりです。次の値が有効です。［default］


--search-scope=default を指定することはできません。たとえば、--user-search-scope=default を指定すると、検索範囲は --search-scope の値に設定されます。





--template {default | rfc-2307 | ad-idmu | ldapsam}

LDAP プロバイダーを構成するために使用するテンプレートを指定します。テンプレートでは、あらかじめ属性が選択されています。テンプレートでは、あらかじめ属性が選択されています。テンプレートは次のとおりです。RFC 2307、Active Directory Identity Management forUNIX（ad-idmu）、LDAP for Samba（ldapsam）。

--bind-password［<string>］LDAP サーバへのバインド時に使用される識別名のパスワードを設定します。対話形式でパスワードを設定するには、代わりに--set-bind-password オプションを使用します。

--set-bind-passwordLDAP サーバへのバインド時に使用される識別名のパスワードを対話形式で設定します。このオプションは、--bind-password とともに使用することはできません。

{--verbose | -v}


isi auth ldap view

LDAP プロバイダーのプロパティを表示します。

認証

isi auth ldap view 325

構文

isi auth ldap view ［<provider-name>］



isi auth local list

ローカルプロバイダーの一覧を表示します。

構文

isi auth local list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]





{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi auth local modify

ローカルプロバイダーを変更します。

構文

isi auth local modify ［<provider-name>］ [--authentication {yes | no}] [--create-home-directory {yes | no}] [--home-directory-template ［<string>］] [--lockout-duration ［<duration>］] [--lockout-threshold ［<integer>］] [--lockout-window ［<duration>］] [--login-shell ［<string>］]

認証


[--machine-name ［<string>］][--min-password-age ［<duration>］][--max-password-age ［<duration>］][--min-password-length ［<integer>］][--password-prompt-time ［<duration>］][--password-complexity{lowercase | uppercase |

numeric | symbol}][--clear-password-complexity][--add-password-complexity {lowercase | uppercase |

numeric | symbol}][--remove-password-complexity ［<string>］][--password-history-length ［<integer>］][--verbose]


変更するローカルプロバイダーの名前を指定します。


認証と ID のプロバイダーを使用します。デフォルト設定は、yes です。--create-home-directory {yes | no}

ユーザーが初めてログインするときにホームディレクトリを作成します。

--home-directory-template［<string>］ホームディレクトリの命名用のテンプレートとして使用するパスを指定します。パスは/ifs で開始する必要があり、特定の変数を表し、ホームディレクトリの作成時に文字列と動的に置き換わる特殊文字シーケンスを含めることができます。たとえば、［%U］、［%D］、［%Z］はそれぞれユーザー名、プロバイダードメイン名、ゾーン名と置き換わります。詳細については、ホームディレクトリに関するセクションを参照してください。

--lockout-duration［<duration>］ログイン試行が複数回失敗した後でアカウントがアクセス不能になる時間の長さを設定します。

--lockout-threshold［<integer>］アカウントがロックアウトされるまでのログイン試行の失敗回数を指定します。

--lockout-window［<duration>］--lockout-thresholdオプションで指定した回数の試行失敗がその時間内に発生するとアカウントがロックアウトされる時間を設定します。期間は <integer>[{Y | M | W | D |H | m | s}] の形式で指定します。

--login-shell［<string>］UNIX ログインシェルへのパスを指定します。

--machine-name［<string>］プロバイダーのユーザーとグループの名前を修飾するために使用するドメインを指定します。

--min-password-age［<duration>］パスワードの最小経過期間を <integer>[{Y | M | W | D | H | m | s}] の形式で指定します。

認証

isi auth local modify 327

--max-password-age［<duration>］パスワードの最大経過期間を <integer>[{Y | M | W | D | H | m | s}] の形式で指定します。

--min-password-length［<integer>］最小パスワード長を設定します。

--password-prompt-time［<duration>］ユーザーがパスワードの変更を要求されるまでの残り時間を <integer>[{Y | M | W | D | H | m | s}] の形式で指定します。

--password-complexity {lowercase | uppercase | numeric | symbol}

パスワードが満たす必要のある条件を指定します。パスワードを有効なものにするには指定した各オプションから少なくとも 1文字が含まれている必要があります。たとえば、lowercaseと numeric が指定されている場合、パスワードを有効なものにするには、少なくとも 1 つの小文字と 1 つの数字が含まれている必要があります。 #と@を除くシンボルが有効です。

--clear-password-complexity新しいパスワードの妥当性検査を行うパラメーターのリストをクリアします。

--add-password-complexity {lowercase | uppercase | numeric | symbol新しいパスワードの妥当性検査を行うパラメーターのリストにアイテムを追加します。このコマンドを繰り返して、追加の password-complexity オプションを指定します。

--remove-password-complexity［<string>］新しいパスワードの妥当性検査を行うパラメーターのリストからアイテムを削除します。このコマンドを繰り返して、削除する各 password-complexity オプションを指定します。

--password-history-length［<integer>］以前のパスワードの再使用を防ぐために格納しておく以前のパスワード数を指定します。パスワードヒストリの最大レングスは 24 です。

{--verbose | -v}


isi auth local view

ローカルプロバイダーのプロパティを表示します。

構文

isi auth local view ［<provider-name>］



isi auth log-level modify

ノード上の認証サービスのログレベルを指定します。

認証


構文

isi auth log-level modify ［<level>］[--verbose]

オプション［<level>］

現在のノードのログレベルを設定します。ログレベルは、ログに記録される情報量を決定します。次の値は有効で、情報が少量から大量に整理されます。l ［always］l ［error］l

l

l

l

［warning］［info］［verbose］［debug］

l ［trace］

レベル verbose、debug、trace を指定すると、パフォーマンスの問題の原因となります。レベル debug と traceは、EMC Isilon テクニカルサポートに問い合わせるときにのみ役立つ可能性の高い情報をログに記録します。

{--verbose | -v}


isi auth log-level view

ノード上の認証サービスのログレベルを表示します。

構文

isi auth log-level view


isi auth mapping create

ソース ID とターゲット ID間に手動マッピングを作成するか、ソース ID のマッピングを自動的に生成します。

構文

isi auth mapping create {［<source>］| --source-uid ［<integer>］| --source-gid ［<integer>］ | --source-sid ［<string>］}

[{--uid | --gid | --sid}]

認証

isi auth log-level view 329

[--on-disk][--2way][{--target ［<string>］ | --target-uid ［<integer>］

| --target-gid ［<string>］ | --target-sid ［<string>］}][--zone［<string>］]

オプション［<source>］

ID タイプによるマッピングソースを［<type>:<value>］の形式で指定します。たとえば、 UID:2002 のように指定します。

--source-uid［<integer>］UID でマッピングソースを指定します。

--source-gid［<integer>］GID でマッピングソースを指定します。

--source-sid［<string>］SID でマッピングソースを指定します。

--uidID のマッピングが存在しない場合は生成し、存在する場合はマップされた UID を取得します。

--gidID のマッピングが存在しない場合は生成し、存在する場合はマップされた GID を取得します。

--sidID のマッピングが存在しない場合は生成し、存在する場合はマップされた SID を取得します。

--on-diskソースのオンディスク ID をターゲット ID で表現する必要があるかどうかを指定します。

--2way2方向マッピング、つまりリバースマッピングを指定します。

--target［<string>］ID タイプによるマッピングターゲットを［<type>:<value>］の形式で指定します。たとえば、UID:2002 のように指定します。

--target-uid［<integer>］UID でマッピングターゲットを指定します。

--target-gid［<integer>］GID でマッピングターゲットを指定します。

--target-sid［<string>］SID でマッピングターゲットを指定します。

--zone［<string>］ID マッピングが適用されるアクセスゾーンを指定します。アクセスゾーンが指定されていない場合、マッピングはデフォルトの System ゾーンに適用されます。

認証


isi auth mapping delete

1 つ以上の ID マッピングを削除します。

構文

isi auth mapping delete {［<source>］| --source-uid ［<integer>］| --source-gid ［<integer>］ | --source-sid ［<string>］ | --all}

[{--only-generated | --only-external | --2way | --target［<string>］

| --target-uid ［<integer>］ | --target-gid ［<integer>］ | --target-sid ［<string>］}]

[--zone［<string>］]


ID タイプによるマッピングソースを［<type>:<value>］の形式で指定します。たとえば、 UID:2002 のように指定します。




--all指定したアクセスゾーンの ID マッピングをすべて削除します。追加のフィルタリングのために--only-generated および --only-external と組み合わせて使用できます。

--only-generated自動的に作成された ID マッピングと、内部的なユーザー ID とグループ ID の範囲から生成された UID または GID を含む ID マッピングのみ削除します。 --all と組み合わせて使用する必要があります。

--only-external自動的に作成された ID マッピングと、外部認証ソースからの UID または GID を含む ID マッピングのみ削除します。 --all と組み合わせて使用する必要があります。

--2way2方向マッピング、つまりリバースマッピングを指定または削除します。



--target-gid［<integer>］

認証

isi auth mapping delete 331

GID でマッピングターゲットを指定します。


--zone［<string>］指定したアクセスゾーンの ID マッピングを削除します。アクセスゾーンが指定されていない場合は、デフォルトの System ゾーンからマッピングが削除されます。

isi auth mapping dump

カーネルマッピングデータベースを表示または出力します。

構文

isi auth mapping dump[--file ［<path>］][--zone ［<string>］]

オプションオプションを指定しない場合は、カーネルマッピングデータベース全体が表示されます。{--file | -f} ［<path>］

指定した出力ファイルにデータベースを出力します。

--zone［<string>］指定したアクセスゾーンのデータベースを表示します。アクセスゾーンが指定されていない場合は、すべてのマッピングが表示されます。

例カーネルマッピングデータベースを表示するには、次のコマンドを実行します。

isi auth mapping dump


["ZID:1", "UID:6299", [["SID:S-1-5-21-1195855716-1407", 128]]]["ZID:1", "GID:1000000", [["SID:S-1-5-21-1195855716-513", 48]]]["ZID:1", "SID:S-1-5-21-1195855716-1407", [["UID:6299", 144]]]["ZID:1", "SID:S-1-5-21-1195855716-513", [["GID:1000000", 32]]]

isi auth mapping flush

1 つまたはすべての ID マッピングのキャッシュをフラッシュします。 ID マッピングルールが変更されている場合は、キャッシュのフラッシュが役立つことがあります。

構文

isi auth mapping flush {--all | --source ［<string>］| --source-uid ［<integer>］ | --source-gid ［<integer>］| --source-sid ［<string>］}

[--zone［<string>］]

認証


オプション--all またはソースオプションの 1 つを指定する必要があります。--all

EMC Isilon クラスター上のすべての ID マッピングをフラッシュします。

--source［<string>］ID タイプによるマッピングソースを［<type>:<value>］の形式で指定します。たとえば、 UID:2002 のように指定します。

--source-uid［<integer>］UID でソース ID を指定します。

--source-gid［<integer>］GID でソース ID を指定します。

--source-sid［<string>］SID でソース ID を指定します。

--zone［<string>］ソース ID のアクセスゾーンを指定します。アクセスゾーンが指定されていない場合、指定したソース ID のマッピングがデフォルトの System ゾーンからフラッシュされます。

isi auth mapping import

ソースファイルから ID マッピングデータベースへマッピングをインポートします。

構文

isi auth mapping import ［<file>］[--replace][--verbose]

オプション［<file>］

インポートするファイルのフルパスを指定します。ファイルの内容は、isi auth mappingdump コマンドを実行することで表示される出力と同じ形式である必要があります。ファイルは /ifs ファイル構造で存在する必要があります。

{--replace | -o}

マッピングデータベースファイルの既存のエントリーをファイルの内容で上書きします。

{--verbose | -v}


isi auth mapping list

アクセスゾーンの ID マッピングデータベースを表示します。

認証

isi auth mapping import 333

構文

isi auth mapping list[--zone ［<string>］]

オプション--zone［<string>］

アクセスゾーンを指定します。

isi auth mapping modify

2 つの ID間のマッピングを設定または変更します。

構文

isi auth mapping modify {［<source>］| --source-uid ［<integer>］| --source-gid ［<integer>］ | --source-sid ［<string>］ | --target

［<string>］| --target-uid ［<integer>］ | --target-gid

［<string>］ | --target-sid ［<string>］}[--on-disk][--2way][--zone［<string>］]


ID タイプによるマッピングソースを［<type>:<value>］の形式で指定します。たとえば、UID:2002 のように指定します。






--target-gid［<integer>］GID でマッピングターゲットを指定します。


認証


--on-diskソースのオンディスク ID をターゲット ID で表現する必要があるかどうかを指定します。

--2way2方向マッピング、つまりリバースマッピングを指定します。

--zone［<string>］ID マッピングが適用されるアクセスゾーンを指定します。アクセスゾーンが指定されていない場合、マッピングはデフォルトの System ゾーンに適用されます。

isi auth mapping token

認証中にユーザーに対して計算されるアクセストークン（ユーザーの履歴グループを含む）を表示します。

構文

isi auth mapping token {［<user>］ | --uid ［<integer>］| --kerberos-principal ［<string>］}

[--zone ［<string>］][--primary-gid ［<integer>］][--gid ［<integer>］]

オプションこのコマンドには、［<user>］、--uid［<integer>］、--kerberos-principal［<string>］のいずれかが必要です。［<user>］

名前でユーザーを指定します。


--kerberos-principal［<string>］Kerberos プリンシパルを名前で指定します。例：[email protected]

--zone［<string>］マッピングを含むアクセスゾーンの名前を指定します。

--primary-gid［<integer>］プライマリ GID を指定します。

--gid［<integer>］トークン GID を指定します。複数の GID を指定するには、このオプションを繰り返します。

isi auth mapping view

ID のマッピングを表示します。

認証

isi auth mapping token 335

構文

isi auth mapping view {［<id>］| --uid ［<integer>］| --gid ［<integer>］ | --sid ［<string>］}

[--nocreate][--zone ［<string>］]

オプション［<id>］

ソース ID タイプの ID を［<type>:<value>］の形式で指定します。たとえば、UID:2002のように指定します。

--uid［<integer>］UID でマッピングソースを指定します。

--gid［<integer>］GID でマッピングソースを指定します。

--sid［<string>］SID でマッピングソースを指定します。

--nocreate存在しないマッピングを作成しないことを指定します。

--zoneソース ID のアクセスゾーンを指定します。アクセスゾーンが指定されていない場合、OneFSではデフォルトの System ゾーンからのマッピングが表示されます。

例次のコマンドを実行すると、zone3 アクセスゾーン内の UID が 2002 のユーザーのマッピングが表示されます。

isi auth mapping view uid:2002 --zone=zone3


Type Mapping---------- ----------------------------------------------Name test1On-disk UID:2002Unix UID 2002Unix GID NoneSMB S-1-5-21-1776575851-2890035977-2418728619-1004NFSv4 test1

isi auth netgroups view

ネットグループに関する情報を表示します。

構文

isi auth netgroups view ［<netgroup>］[--zone ［<string>］]

認証


[--provider ［<string>］][--recursive {true | false}][--ignore-errors {true | false}]

オプション［<netgroup>］

ネットグループ名を指定します。



--recursive {true | false}

ネストされたネットグループを再帰的に解決するかどうかを指定します。デフォルト値は trueです。


エラーおよび解決不可能なネットグループを無視するかどうかを指定します。デフォルト値はfalse です。

isi auth nis create

NIS プロバイダーを作成します。

構文

isi auth nis create ［<name>］[--nis-domain ［<string>］][--servers ［<string>］][--authentication {yes | no}][--balance-servers {yes | no}][--check-online-interval ［<duration>］][--create-home-directory {yes | no}][--enabled {yes | no}][--enumerate-groups {yes | no}][--enumerate-users {yes | no}][--findable-groups ［<string>］][--findable-users ［<string>］][--group-domain ［<string>］][--home-directory-template ［<path>］][--hostname-lookup {yes | no}][--listable-groups ［<string>］][--listable-users ［<string>］][--login-shell ［<path>］][--normalize-groups {yes | no}][--normalize-users {yes | no}][--provider-domain ［<string>］][--ntlm-support {all | v2only | none}][--request-timeout ［<integer>］][--restrict-findable {yes | no}][--restrict-listable {yes | no}][--retry-time <integer>][--unfindable-groups ［<string>］][--unfindable-users ［<string>］]

認証

isi auth nis create 337

[--unlistable-groups ［<string>］][--unlistable-users ［<string>］][--user-domain ［<string>］][--ypmatch-using-tcp {yes | no}][--groupnet ［<groupnet>］][--verbose]


NIS プロバイダーの名前を設定します。

--nis-domain［<string>］NIS ドメイン名を指定します。

--servers［<string>］このプロバイダーが使用する NIS サーバーのリストを指定します。NIS サーバーを IPv4 アドレスまたはホスト名として指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。




プロバイダーをリクエストごとのランダムサーバーに接続させます。










--findable-groups［<string>］--restrict-findable が有効化されている場合にプロバイダーで検索できるグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないグループは解決できません。

--findable-users［<string>］--restrict-findable が有効化されている場合にプロバイダーで検索できるユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないユーザーは解決できません。

認証


--group-domain［<string>］このプロバイダーがグループの認定に使用するドメインを指定します。デフォルトのグループドメインは NIS_GROUPS です。


--hostname-lookup {yes | no}

ホスト名検索を有効または無効にします。

--listable-groups［<string>］--restrict-listable が有効化されている場合にプロバイダーで表示できるグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないグループは表示できません。

--listable-users［<string>］--restrict-listable が有効化されている場合にプロバイダーで表示できるユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないユーザーは表示できません。









--request-timeout［<integer>］リクエストのタイムアウト間隔を秒数で指定します。デフォルト値は 20 です。





認証

isi auth nis create 339

--retry-time［<integer>］リクエストが再試行されるまでのタイムアウト期間を秒数で設定します。デフォルト値は 5 です。

--unfindable-groups［<string>］--restrict-findable が有効化され、検索可能グループリストが空の場合は、このプロバイダーで解決できないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unfindable-users［<string>］--restrict-findable が有効化され、検索可能ユーザーリストが空の場合は、このプロバイダーで解決できないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unlistable-groups［<string>］--restrict-listable が有効化され、リスト可能グループリストが空の場合は、このプロバイダーで表示できないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unlistable-users［<string>］--restrict-listable が有効化され、リスト可能ユーザーリストが空の場合は、このプロバイダーで表示できないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--user-domain ［<string>］このプロバイダーがユーザーの認定に使用するドメインを指定します。デフォルトのユーザードメインは NIS_USERS です。

--ypmatch-using-tcp {yes | no}

YP一致操作の TCP を使用します。

--groupnet［<groupnet>］NIS プロバイダーによって参照されるグループネットを指定します。グループネットとは、DNS ネームサーバーに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納する最上位レベルのネットワークコンテナーです。グループネットは、NIS プロバイダーが外部のサーバーと通信するときに使用するネットワークのプロパティを指定します。

{--verbose | -v}


isi auth nis delete

NIS プロバイダーを削除します。

構文

isi auth nis delete ［<provider-name>］[--force][--verbose]


認証



{--force | -f}


{--verbose | -v}


isi auth nis list

NIS プロバイダーのリストを表示し、プロバイダーが正しく機能しているかどうかを示します。

構文

isi auth nis list[--limit ［<integer>］][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]





{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi auth nis modify

NIS プロバイダーを変更します。

構文

isi auth nis modify ［<provider-name>］[--name ［<string>］][--nis-domain ［<string>］][--servers ［<string>］][--clear-servers][--add-servers ［<string>］][--remove-servers ［<string>］][--authentication {yes | no}][--balance-servers {yes | no}][--check-online-interval ［<duration>］]

認証

isi auth nis list 341

[--create-home-directory {yes | no}][--enabled {yes | no}][--enumerate-groups {yes | no}][--enumerate-users {yes | no}][--findable-groups ［<string>］][--clear-findable-groups][--add-findable-groups ［<string>］][--remove-findable-groups ［<string>］][--findable-users ［<string>］][--clear-findable-users][--add-findable-users ［<string>］][--remove-findable-users ［<string>］][--group-domain ［<string>］][--home-directory-template ［<string>］][--hostname-lookup {yes | no}][--listable-groups ［<string>］][--clear-listable-groups][--add-listable-groups ［<string>］][--remove-listable-groups ［<string>］][--listable-users ［<string>］][--clear-listable-users][--add-listable-users ［<string>］][--remove-listable-users ［<string>］][--login-shell ［<string>］][--normalize-groups {yes | no}][--normalize-users {yes | no}][--provider-domain ［<string>］][--ntlm-support {all | v2only | none}][--request-timeout ［<integer>］][--restrict-findable {yes | no}][--restrict-listable {yes | no}][--retry-time ［<integer>］][--unfindable-groups ［<string>］][--clear-unfindable-groups][--add-unfindable-groups ［<string>］][--remove-unfindable-groups ［<string>］][--unfindable-users ［<string>］][--clear-unfindable-users][--add-unfindable-users ［<string>］][--remove-unfindable-users ［<string>］][--unlistable-groups ［<string>］][--clear-unlistable-groups][--add-unlistable-groups ［<string>］][--remove-unlistable-groups ［<string>］][--unlistable-users ［<string>］][--clear-unlistable-users][--add-unlistable-users ［<string>］][--remove-unlistable-users ［<string>］][--user-domain ［<string>］][--ypmatch-using-tcp {yes | no}][--verbose]


変更する NIS プロバイダーの名前を指定します。


--nis-domain［<string>］

認証


NIS ドメイン名を指定します。

--servers［<string>］このプロバイダーが使用する NIS サーバーのリストを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。NIS サーバーを IPv4 アドレスまたはホスト名として指定します。このオプションは、NIS サーバーリスト内のエントリーを上書きします。現在のエントリーに影響を与えずにサーバーを追加または削除するには、--add-servers または--remove-servers を使用します。

--clear-serversNIS サーバーのリストからすべてのエントリーを削除します。

--add-servers［<string>］NIS サーバーのリストにエントリーを追加します。複数の項目を指定するには、このオプションを繰り返します。

--remove-servers［<string>］NIS サーバーのリストからエントリーを削除します。複数の項目を指定するには、このオプションを繰り返します。


認証および ID のためのこのプロバイダーの使用を有効または無効にします。デフォルト値はyes です。


このプロバイダーをリクエストごとのランダムサーバーに接続させます。





このプロバイダーを有効または無効にします。


このプロバイダーにグループの列挙を許可するかどうかを指定します。


このプロバイダーにユーザーの列挙を許可するかどうかを指定します。

--findable-groups［<string>］--restrict-findable が有効化されている場合にプロバイダーで検索できるグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないグループは解決できません。このオプションは、検索可能グループリストのエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-findable-groups または--remove-findable-groups を使用します。

--clear-findable-groups

認証

isi auth nis modify 343

検索可能グループのリストからすべてのエントリーを削除します。



--findable-users［<string>］--restrict-findable が有効化されている場合にプロバイダーで検索できるユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないユーザーは解決できません。このオプションは、検索可能ユーザーリストのエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-findable-users または--remove-findable-users を使用します。




--group-domain［<string>］このプロバイダーがグループの認定に使用するドメインを指定します。デフォルトのグループドメインは NIS_GROUPS です。


--hostname-lookup {yes | no}

ホスト名検索を有効または無効にします。

--listable-groups［<string>］--restrict-listable が有効化されている場合にプロバイダーで表示できるグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないグループは表示できません。このオプションは、リスト可能グループリストのエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加また

認証


は削除するには、--add-listable-groups または--remove-listable-groups を使用します。


--add-listable-groups［<string>］--restrict-listable が有効化されている場合にチェックされる表示可能グループのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。


--listable-users［<string>］--restrict-listable が有効化されている場合にプロバイダーで表示できるユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。追加された場合、このリストに含まれていないユーザーは表示できません。このオプションは、リスト可能ユーザーリストのエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-listable-users または--remove-listable-users を使用します。


--add-listable-users［<string>］--restrict-listable が有効化されている場合にチェックされる表示可能ユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。









認証



--request-timeout［<integer>］リクエストのタイムアウト間隔を秒数で指定します。デフォルト値は 20 です。





--retry-time［<integer>］リクエストが再試行されるまでのタイムアウト期間を秒数で設定します。デフォルト値は 5 です。

--unfindable-groups［<string>］--restrict-findable が有効化されている場合にプロバイダーで検索できないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、検索不能グループリストのエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-unfindable-groups または--remove-unfindable-groups を使用します。




--unfindable-users ［<string>］--restrict-findable が有効化されている場合にプロバイダーで検索できないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、検索不能ユーザーリストのエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-unfindable-users または--remove-unfindable-users を使用します。



認証


--remove-unfindable-users［<string>］--restrict-findable が有効化されている場合にチェックされる検索不能ユーザーのリストからエントリーを削除します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--unlistable-groups［<string>］--restrict-listable が有効化されている場合にプロバイダーでリストできないグループを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、リスト不能グループリストのエントリーを上書きします。現在のエントリーに影響を与えずにグループを追加または削除するには、--add-unlistable-groups または--remove-unlistable-groups を使用します。

--clear-unlistable-groupsリスト不能グループのリストからすべてのエントリーを削除します。



--unlistable-users［<string>］--restrict-listable が有効化されている場合にこのプロバイダーにリストできないユーザーを指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。このオプションは、リスト不能ユーザーリストのエントリーを上書きします。現在のエントリーに影響を与えずにユーザーを追加または削除するには、--add-unlistable-users または--remove-unlistable-users を使用します。


--add-unlistable-users ［<string>］--restrict-listable が有効化されている場合にチェックされる表示不能ユーザーのリストにエントリーを追加します。複数のリストアイテムを指定するには、このオプションを繰り返します。


--user-domain［<string>］このプロバイダーがユーザーの認定に使用するドメインを指定します。デフォルトのユーザードメインは NIS_USERS です。

--ypmatch-using-tcp {yes | no}

YP一致操作の TCP を使用します。

認証


{--verbose | -v}


isi auth nis view

NIS プロバイダーのプロパティを表示します。

構文

isi auth nis view ［<provider-name>］



isi auth privileges

システム権限の一覧を表示します。

構文

isi auth privileges [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]



{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


--verbose オプションを使用する場合、出力 Read Write: Noは権限が読み取り専用であることを意味します。

isi auth refresh

認証システムの構成設定をリフレッシュします。

認証


構文

isi auth refresh


isi auth roles create

カスタム役割を作成します。このコマンドを実行すると、空の役割が作成されます。役割に権限を割り当て、メンバーを追加するには、isi auth roles modify コマンドを実行します。構文

isi auth roles create ［<name>］ [--description ［<string>］] [--verbose]


役割の名前を指定します。

--description［<string>］役割の説明を指定します。

{--verbose | -v}


isi auth roles delete

役割を削除します。

構文

isi auth roles delete ［<role>］ [--force] [--verbose]

オプション［<role>］

削除する役割の名前を指定します。

{--force | -f}


{--verbose | -v}


認証

isi auth roles create 349

isi auth roles list

役割の一覧を表示します。

構文

isi auth roles list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]





{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi auth roles members list

役割のメンバーの一覧を表示します。

構文

isi auth roles members list ［<role>］ [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]


名前で役割を指定します。




認証


{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


例SystemAdmin役割のメンバーを表示するには、次のコマンドを実行します。

isi auth roles members list systemadmin

次のサンプル出力では、SystemAdmin役割には現在 1人のメンバーである「admin」というユーザーが含まれます。

Type Name----------user admin----------Total: 1

isi auth roles modify

役割を変更します。

構文

isi auth roles modify ［<role>］ [--name ［<string>］] [--description ［<string>］] [--add-group ［<string>］] [--remove-group ［<string>］] [--add-gid ［<integer>］] [--remove-gid ［<integer>］] [--add-uid ［<integer>］] [--remove-uid ［<integer>］] [--add-user ［<string>］] [--remove-user ［<string>］] [--add-sid ［<string>］] [--remove-sid ［<string>］] [--add-wellknown ［<string>］] [--remove-wellknown ［<string>］] [--add-priv ［<string>］] [--add-priv-ro ［<string>］] [--remove-priv ［<string>］] [--verbose]


変更する役割の名前を指定します。

--name［<string>］役割の新しい名前を指定します。カスタム役割にのみ適用します。

認証

isi auth roles modify 351

--description［<string>］役割の説明を指定します。

--add-group［<string>］指定した名前のグループを役割に追加します。追加の各アイテムにこのオプションを繰り返します。

--remove-group［<string>］指定した名前のグループを役割から削除します。追加の各アイテムにこのオプションを繰り返します。

--add-gid［<integer>］指定した GID のグループを役割に追加します。追加の各アイテムにこのオプションを繰り返します。

--remove-gid［<integer>］指定した GID のグループを役割から削除します。追加の各アイテムにこのオプションを繰り返します。

--add-uid［<integer>］指定した UID のユーザーを役割に追加します。追加の各アイテムにこのオプションを繰り返します。

--remove-uid［<integer>］指定した UID のユーザーを役割から削除します。追加の各アイテムにこのオプションを繰り返します。

--add-user［<string>］指定した名前のユーザーを役割に追加します。追加の各アイテムにこのオプションを繰り返します。

--remove-user［<string>］指定した名前のユーザーを役割から削除します。追加の各アイテムにこのオプションを繰り返します。

--add-sid［<string>］指定した SID のユーザーまたはグループを役割に追加します。追加の各アイテムにこのオプションを繰り返します。

--remove-sid［<string>］指定した SID のユーザーまたはグループを役割から削除します。追加の各アイテムにこのオプションを繰り返します。

--add-wellknown［<string>］指定した名前（Everyoneなど）の一般的な SID を役割に追加します。追加の各アイテムにこのオプションを繰り返します。

--remove-wellknown［<string>］指定した名前の一般的な SID を役割から削除します。追加の各アイテムにこのオプションを繰り返します。

--add-priv［<string>］

認証


役割に読み取り/書き込み権限を追加します。カスタム役割にのみ適用します。追加の各アイテムにこのオプションを繰り返します。

--add-priv-ro［<string>］役割に読み取り専用権限を追加します。カスタム役割にのみ適用します。追加の各アイテムにこのオプションを繰り返します。

--remove-priv［<string>］役割から権限を削除します。カスタム役割にのみ適用します。追加の各アイテムにこのオプションを繰り返します。

{--verbose | -v}


isi auth roles privileges list

役割に関連づけられている権限の一覧を表示します。

構文

isi auth roles privileges list ［<role>］ [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]


名前で役割を指定します。




{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


例組み込み型 SecurityAdmin役割に関連づけられている権限を一覧表示するには、次のコマンドを実行します。

isi auth roles privileges list securityadmin

認証

isi auth roles privileges list 353


ID----------------------ISI_PRIV_LOGIN_CONSOLEISI_PRIV_LOGIN_PAPIISI_PRIV_LOGIN_SSHISI_PRIV_AUTHISI_PRIV_ROLE----------------------Total: 5

isi auth roles view

役割のプロパティを表示します。

構文

isi auth roles view ［<role>］


表示する役割の名前を指定します。

isi auth settings acls modify

OneFS の ACL（アクセス制御リスト）の設定を変更します。

構文

isi auth settings acls modify [--create-over-smb {allow | disallow}] [--chmod {remove | replace | replace_users_and_groups | merge | deny | ignore}] [--chmod-inheritable {yes | no}] [--chown {owner_group_and_acl | owner_group_only | ignore}] [--access {unix | windows}] [--rwx {retain | full_control}] [--group-owner-inheritance {native | parent | creator}] [--chmod-007 {default | remove}] [--calcmode-owner {owner_aces | owner_only}] [--calcmode-group {group_aces | group_only}] [--synthetic-denies {none | remove}] [--utime {only_owner | owner_and_write}] [--dos-attr {deny_smb | deny_smb_and_nfs}] [--calmode {approx | 777}] [--verbose]

オプション--create-over-smb {allow | disallow}

SMB経由で ACL の作成を許可するか拒否するかを指定します。

認証


システム上の継承可能な ACLは、この設定よりも優先されます。フォルダーで継承可能なACL が設定されている場合、そのフォルダーで作成される新しいファイルおよびフォルダーは、そのフォルダーの ACL を継承します。この設定を無効にすると、現在ファイルで設定されているACL が削除されます。既存の ACL をクリアする場合は、chmod -b <mode> <file>コマンドを実行して ACL を削除し、正しい権限を設定します。

--chmod {remove | replace | replace_users_and_groups | merge | deny |ignore}

ローカルまたは NFS経由で ACL を使用して、chmod操作をファイルで開始した場合の権限の処理方法を指定します。この設定では、File System Explorerなど、UNIX権限に影響するすべての要素を制御します。このポリシー設定を有効にしても、chmod操作が、ACLを持たないファイルに与える影響には変わりありません。次の値が有効です。remove

chmod操作の場合、既存の ACL があれば削除し、代わりに chmod権限を設定します。Windows から設定する権限が必要ない場合のみ、このオプションを選択します。

replace

既存の ACL を削除し、UNIX権限と同等の ACL を作成します。Windows権限を削除しても、ファイルには Synthetic ACL を持たせない場合のみ、このオプションを選択します。

replace_users_and_groups

既存の ACL を削除し、古い ACL で参照されるすべてのユーザー/グループに対してUNIX権限と同等の ACL を作成します。Windows権限を削除しても、ファイルにはSynthetic ACL を持たせない場合のみ、このオプションを選択します。

merge

chmod によって適用される権限を既存の ACL にマージします。各 ID の ACE（所有者、グループ、すべてのユーザー）は変更または作成されますが、その他のすべての ACEは変更されません。Windows ユーザーが引き続き、適切な権限を継承できるように、継承可能な ACE も変更されずそのまま残ります。ただし、UNIX ユーザーは、これら 3個の標準 ID のそれぞれに対して、特定の権限を設定できます。

deny

ユーザーが NFS およびローカルの chmod操作を行わないようにします。NFS経由の権限設定を許可しない場合、この設定を有効にします。

ignore

NFS クライアントが ACL の変更を行わないようにする既存の ACL がファイルに含まれている場合、chmod操作を無視します。ディレクトリで継承可能な ACL を定義し、そのACL を権限のために使用する場合は、このオプションを選択します。

認証

isi auth settings acls modify 355

ACLでファイルに現在設定されているのと同じ権限で chmod コマンドを実行しようとすると、何も出力されずに操作に失敗する場合があります。操作は成功したように見えますが、クラスターで権限を確認すると、chmod コマンドが反映されていないことが判明します。代わりに、現在の権限から離れた chmod コマンドを実行してから、2回目の chmod コマンドで元の権限に戻すように実行します。たとえば、ファイルが 755 UNIX権限を示し、この番号を確定する場合は、chmod 700 file; chmod 755 file を実行できます。

--chmod-inheritable {yes | no}

Windows システムで、ディレクトリの ACE により詳細な継承ルールを定義できます。UNIX システムでは、モードビットは継承されません。chmod コマンドによってディレクトリに作成されるACL を継承可能にすると、堅固に制御された環境に対してより安全ですが、アクセスを想定する以外にない一部のWindows ユーザーへのアクセスを拒否する可能性があります。

--chown {owner_group_and_acl | owner_group_only | ignore}

ファイルまたはフォルダーの所有権を持つユーザーまたはグループを変更します。次の値が有効です。ownder_group_and_acl

所有者またはグループのみを変更し、chown または chgrp操作を UNIX に似た動作で実行できるようにします。この設定を有効にすると、新旧の所有者またはグループに関連づけられた ACL内の ACE を変更します。

owner_group_only

所有者またはグループと ACL権限を変更し、NFS chown または chgrp操作をWindows に似た動作で機能できるようにします。ファイル所有者がWindows経由で変更されても、ACL内の権限は変更されません。

ignore

NFS クライアントが所有者またはグループの変更を行わないようにする既存の ACL がファイルに含まれている場合、chown および chgrp操作を無視します。

NFS経由の chown または chgrp操作で、権限と所有権を持つユーザーまたはグループが変更されます。たとえば、rwx------ (700)権限を持つユーザー Joe が所有するファイルは、所有者に rwx権限があり、他の人には権限がないことを示します。chown コマンドを実行してファイルの所有権をユーザー Bob に変更した場合、所有者の権限はそのまま rwx ですが、その権限は、すべての権限を失った Joe ではなく、Bob の権限を表します。この設定は、UNIX権限を持つファイルで実行される UNIX の chown または chgrp操作には影響しません。また、Windows の chown または chgrp操作にも影響しないため、権限が変わることはありません。

--access {unix | windows}

UNIX環境では、ファイルの所有者またはスーパーユーザーのみに、chmod または chown操作をファイルで実行する権限があります。Windows環境では、このポリシー設定を実装して、権限を変更する chmod操作を実行する権限、または所有権を取得するが与えることはできない chown操作を実行する権限をユーザーに与えることができます。次の値が有効です。

認証


unix

ファイルの所有者のみがファイルのモードまたは所有者を変更できるようにし、chmod および chown のアクセスチェックを UNIX に似た動作で操作できるようにします。

windows

WRITE_DAC およびWRITE_OWNER権限を持つファイルの所有者およびユーザーがファイルのモードまたは所有者を変更できるようにし、chmod および chown アクセスチェックをWindows に似た動作で操作できるようにします。

--rwx {retain | full_control}

Windows権限にマップされている rwx権限の処理方法を指定します。UNIX環境では、rwx権限はユーザーまたはグループが読み取り、書き込み、実行の権限を持ち、ユーザーまたはグループが最大限可能なレベルの権限を持つことを示します。UNIX権限をファイルに割り当てても、そのファイルに対する ACLは格納されません。Windows システムは ACL のみを処理するため、Windows システムでファイルの権限を参照する際は Isilon クラスターが UNIX権限を ACL に変換する必要があります。このタイプのACLは Synthetic ACL と呼ばれます。Synthetic ACLはどこにも格納されません。必要に応じて動的に生成され、破棄されます。ファイルに UNIX権限が割り当てられている場合、ファイルの ACL を表示するために ls file コマンドを実行すると、Synthetic ACL の存在を確認できます。Synthetic ACL を生成すると、Isilon クラスターは UNIX権限をWindows権限にマッピングします。Windows では、UNIX よりも詳細な権限モデルがサポートされ、UNIX権限から簡単にマッピングできない権限を指定します。次の値が有効です。retain

rwx権限を保持し、読み取り、書き込み、実行の権限のみを提供する ACE を生成します。

full_control

権限の変更権限、所有権の取得権限、削除権限を追加することによって、rwx権限をフルコントロールとして取扱い、ユーザーまたはグループに対する最大のWindows権限を提供する ACE を生成します。

--group-owner-inheritance {native | parent | creator}

グループの所有権と権限の継承の処理方法を指定します。グループ所有者を作成者のプライマリグループから継承させる設定を有効にした場合、chmod コマンドを実行して set-gid ビットを設定することによって、フォルダー単位で上書きすることができます。ファイルが作成されたときのみ、この継承が適用されます。次の値が有効です。native

ファイルの ACL が存在する場合、グループ所有者がファイル作成者のプライマリグループから継承されることを指定します。ACL がない場合、親フォルダーからグループ所有者が継承されます。

parent

グループ所有者がファイルの親フォルダーから継承されることを指定します。

creator

グループ所有者がファイル作成者のプライマリグループから継承されることを指定します。

--chmod-007 {default | remove}

認証

isi auth settings acls modify 357

chmod (007)コマンドの実行時に ACL を削除するかを指定します。次の値が有効です。default

既存の ACL を削除せずに、007 UNIX権限を設定します。

remove

chmod (007)コマンドを使用して、UNIX ファイル共有（NFS）経由、およびクラスター上のローカルでファイルから ACL を削除します。この設定を有効にした場合は、ファイルで chmod コマンドを実行する直前に chmod (007)を使用して ACL をクリアするようにします。ほとんどの場合、ファイルの 007権限を残す必要はありません。

--calcmode-owner {owner_aces | owner_only}

所有者モードビットを近似する方法を指定します。次の値が有効です。owner_aces

可能なすべてのグループ ACE を使用して所有者モードビットを近似します。これにより、所有者権限が実際のファイルの権限よりも寛容に見えるようになります。

owner_only

所有者 ID を持つ ACE のみを使用して所有者モードビットを近似します。これにより、特定の所有者の権限のみを表示し、より寛容なセットは表示しないという点で、所有者権限がより正確に見えるようになります。ただし、これにより、UNIX クライアントに対してアクセス拒否の問題が生じる場合があります。

--calcmode-group {group_aces | group_only}

グループモードビットを近似する方法を指定します。次の値が有効です。group_aces

可能なすべてのグループ ACE を使用してグループモードビットを近似します。これにより、グループ権限が実際のファイルの権限よりも寛容に見えるようになります。

group_only

所有者 ID を持つ ACE のみを使用してグループモードビットを近似します。これにより、特定のグループの権限のみを表示し、より寛容なセットは表示しないという点で、グループ権限がより正確に見えるようになります。ただし、これにより、UNIX クライアントに対してアクセス拒否の問題が生じる場合があります。

--synthetic-denies {none | remove}

Synthetic ACL を処理する方法を指定します。標準の ACL順序をはずれた拒否 ACE がある場合、Windows ACL ユーザーインターフェイスには ACL を表示できません。UNIX権限を正しく表現するため、拒否 ACE を標準 ACL順序からはずすことが必要な場合があります。次の値が有効です。none

Synthetic ACL とモードビットの近似の変更を行いません。これにより、Synthetic ACLの生成の変更を防止し、必要な場合は「拒否」ACE を生成できるようにします。

このオプションでは権限が並び替えられ、Windows ユーザーまたはアプリケーションがWindows に対して ACL取得、ACL変更、ACL設定を実行した場合、永久にアクセスが拒否される可能性があります。

認証


remove

Synthetic ACL の生成時に拒否 ACE を削除します。この設定により、ACL が同等のモードビットよりも寛容になる場合があります。

--utimes {only_owner | owner_and_write}

ファイルのアクセス時間および変更時間である utime を変更できるユーザーを指定します。only_owner

所有者のみが utime を POSIX標準に準拠するクライアント固有の時間に変更できます。

owner_and_write

所有者だけでなく書き込みアクセス権を持つユーザーが utime をクライアント固有の時間に変更できます。これは制限が厳しくないオプションです。

--dos-attr {deny_smb | deny_smb_and_nfs}

NFS および SMB向けの読み取り専用 DOS属性を処理する方法を指定します。次の値が有効です。deny_smb

SMB を介してのみ DOS読み取り専用属性を持つファイルを変更する権限を拒否します。

deny_smb_nfs

NFS と SMB の両方で、DOS読み取り専用属性を持つファイルを変更する権限を拒否します。

--calmode {approx | 777}

モードビットを表示する方法を指定します。次の値が有効です。approx

ACL を使用してモードビットを近似します。ACL権限に基づいた NFS モードビットの近似を示します。

777

ACL が存在する場合、常に 777 を表示するように指定します。近似 NFS権限が、ACL での権限よりも低い権限である場合、この設定を使用して、操作を実行する前にアクセスチェックで NFS クライアントが停止しないようにすることができます。この設定は、ACL で適切なアクセス権が提供されず、サードパーティアプリケーションがブロックされる可能性がある場合に使用します。

{--verbose | -v}


isi auth settings acls view

OneFS の ACL（アクセス制御リスト）の設定を表示します。

認証

isi auth settings acls view 359

構文

isi auth settings acls view


isi auth settings global modify

グローバル認証設定を変更します。

構文

isi auth settings global modify [--send-ntlmv2 {yes | no}] [--revert-send-ntlmv2] [--space-replacement ［<character>］] [--revert-space-replacement] [--workgroup ［<string>］] [--revert-workgroup] [--provider-hostname-lookup {dns-first | nis-first | disabled}] [--user-object-cache-size ［<size>］] [--revert-user-object-cache-size] [--on-disk-identity {native | unix | sid}] [--revert-on-disk-identity] [--rpc-block-time ［<duration>］] [--revert-block-time] [--rpc-max-requests ［<integer>］] [--revert-rpc-max-requests] [--unknown-gid ［<integer>］] [--revert-unknown-gid] [--unknown-uid ［<integer>］] [--revert-unknown-uid] [--verbose]

オプション--send-ntlmv2 {yes | no}

NTLMv2応答のみを SMB クライアントに送信するかどうかを指定します。デフォルト値は noです。有効な値は yes、no です。デフォルト値は no です。

--revert-send-ntlmv2--send-ntlmv2設定をシステムのデフォルト値に戻します。

--space-replacement［<character>］ユーザー名およびグループ名内のスペースの解析が難しいクライアントの場合、代替文字を指定します。使用していない文字を選択してください。

--revert-space-replacement--space-replacement設定をシステムのデフォルト値に戻します。

--workgroup［<string>］NetBIOS ワークグループを指定します。デフォルト値は WORKGROUP です。

--revert-workgroup--workgroup設定をシステムのデフォルト値に戻します。

認証


--provider-hostname-lookup {dns-first | nis-first | disabled}

認証プロバイダーを通じてホスト名を検索できます。NIS にのみ適用されます。デフォルト値はdisabled です。

--user-object-cache-size［<size>］認証サービスのセキュリティオブジェクトキャッシュの最大サイズ（バイト単位）を指定します。

--revert-user-object-cache-size--user-object-cache-size設定をシステムのデフォルト値に戻します。

--on-disk-identity［<string>］ディスクに格納する優先 ID を制御します。OneFS で ID を適した形式に変換できない場合は、そのまま格納されます。この設定は、ディスクにすでに格納されている ID に影響しません。指定できる値は次のとおりです。［native］

OneFS でディスクに格納する ID を決定できます。推奨される設定です。

［unix］受信した UNIX ID（UID と GID）を常にディスクに格納します。

［sid］受信したWindows セキュリティ ID（SID）が UNIX ID から生成されたものでない限り、SID をディスクに格納します。SID が UNIX ID から生成された場合、OneFSはそれをUNIX ID に変換し、ディスクに格納します。

ディスク上の ID を変更した後で権限エラーが発生しないようにするには、［convert ］モードを指定して Repair Permissions ジョブを実行します。

--revert-on-disk-identity--on-disk-identity設定をシステムのデフォルト値に設定します。

--rpc-block-time［<integer>］ID マッパーリクエストが非同期になるまでの時間の長さ（ミリ秒）を指定します。

--revert-rpc-block-time--rpc-block-time設定をシステムのデフォルト値に設定します。

--rpc-max-requests［<integer>］許可される同時 ID マッパーリクエストの最大数を指定します。デフォルト値は 64 です。

--revert-rpc-max-requests--rpc-max-requests設定をシステムのデフォルト値に設定します。

--unknown-gid［<integer>］不明な（匿名）グループに使用する GID を指定します。

--revert-unknown-gid--unknown-gid設定をシステムのデフォルト値に設定します。

認証

isi auth settings global modify 361

--unknown-uid［<integer>］不明な（匿名）ユーザーに使用する UID を指定します。

--revert-unknown-uid--unknown-uid設定をシステムのデフォルト値に設定します。

{--verbose | -v}


isi auth settings global view

グローバル認証設定を表示します。

構文



例クラスターで現在の認証設定を表示するには、次のコマンドを実行します。



Send NTLMv2: No Space Replacement: Workgroup: WORKGROUPProvider Hostname Lookup: disabled Alloc Retries: 5 Cache Cred Lifetime: 15m Cache ID Lifetime: 15m On Disk Identity: native RPC Block Time: 5s RPC Max Requests: 16 RPC Timeout: 30s System GID Threshold: 80 System UID Threshold: 80 GID Range Enabled: Yes GID Range Min: 1000000 GID Range Max: 2000000 UID Range Enabled: Yes UID Range Min: 1000000 UID Range Max: 2000000 Min Mapped Rid: 2147483648 Group UID: 4294967292 Null GID: 4294967293 Null UID: 4294967293 Unknown GID: 4294967294 Unknown UID: 4294967294

isi auth settings krb5 modify

MIT Kerberos認証プロバイダーのグローバル設定を変更します。

認証


構文

isi auth settings krb5 modify [--always-send-preauth ［<boolean>］ | --revert-always-send-preauth] [--default-realm ［<string>］] [--dns-lookup-kdc ［<boolean>］ | --revert-dns-lookup-kdc] [--dns-lookup-realm ［<boolean>］ | --revert-dns-lookup-realm]

オプション--always-send-preauth［<boolean>］

preauth を送信するかどうかを指定します。

--revert-always-send-preauth--always-send-preauth の値をシステムのデフォルト値に設定します。

--default-realm［<string>］デフォルトの Kerberos領域名を指定します。

--dns-lookup-kdc［<boolean>］DNS が KDC（キー配布センター）を検索できるようにします。

--revert-dns-lookup-kdc--dns-lookup-kdc の値をシステムのデフォルト値に設定します。

--dns-lookup-realm［<boolean>］DNS が Kerberos領域名を検索できるようにします。

--revert-dns-lookup-realm--dns-lookup-realm の値をシステムのデフォルト値に設定します。

isi auth settings krb5 view

MIT Kerberos プロバイダー認証設定を表示します。

構文

isi auth settings krb5 view

isi auth settings mapping modify

ID マッピング設定を変更します。

構文

isi auth settings mapping modify [--gid-range-enabled {yes | no}] [--revert-gid-range-enabled] [--gid-range-min ［<integer>］] [--revert-gid-range-min] [--gid-range-max ［<integer>］]

認証

isi auth settings krb5 view 363

[--revert-gid-range-max] [--uid-range-enabled {yes | no}] [--revert-uid-range-enabled] [--uid-range-min ［<integer>］] [--revert-uid-range-min] [--uid-range-max ［<integer>］] [--revert-uid-range-max] [--zone ［<string>］]

オプションオプションを指定しない場合は、カーネルマッピングデータベースが表示されます。--gid-range-enabled {yes | no}

ID マッピングサービスによって GID の自動アロケーションを有効化します。この設定は、デフォルトで有効です。

--revert-gid-range-enabled--gid-range-enabled の値をシステムのデフォルト値に設定します。

--gid-range-min［<integer>］アロケーションに使用可能な GID の範囲の下限値を指定します。デフォルト値は 1000000です。

--revert-gid-range-min--gid-range-min の値をシステムのデフォルト値に設定します。

--gid-range-max［<integer>］アロケーションに使用可能な GID の範囲の上限値を指定します。デフォルト値は 2000000です。

--revert-gid-range-max--gid-range-min の値をシステムのデフォルト値に設定します。

--uid-range-enabled {yes | no}

ID マッピングサービスによって UID の自動アロケーションを有効化します。この設定は、デフォルトで有効です。

--revert-uid-range-enabled--uid-range-enabled の値をシステムのデフォルト値に設定します。

--uid-range-min［<integer>］アロケーションに使用可能な UID の範囲の下限値を指定します。デフォルト値は 1000000です。

--revert-uid-range-min--uid-range-min の値をシステムのデフォルト値に設定します。

--uid-range-max［<integer>］アロケーションに使用可能な UID の範囲の上限値を指定します。デフォルト値は 2000000です。

--revert-uid-range-max--uid-range-max の値をシステムのデフォルト値に設定します。

認証


--zone［<string>］ID マッピング設定を変更するアクセスゾーンを指定します。アクセスゾーンが指定されていない場合は、デフォルトのシステムゾーンの設定が変更されます。

isi auth settings mapping view

アクセスゾーンの ID マッピングを表示します。

構文

isi auth settings mapping view[--zone ［<string>］]


指定したアクセスゾーンのマッピング設定を表示します。アクセスゾーンが指定されていない場合、デフォルトの System ゾーンからのマッピングが表示されます。

isi auth status

使用可能な認証プロバイダーや正しく機能しているプロバイダーなど、プロバイダーのステータスを表示します。

構文

isi auth status[--zone ［<string>］][--groupnet ［<string>］][--limit ［<integer>］][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]



--groupnet［<string>］名前でグループネットを指定します。

--limit [ ［-l］ | ［<integer>］]表示するプロバイダー数を指定します。


プロバイダーをテーブル（デフォルト）、JSON（JavaScript Object Notation）、CSV（コンマ区切り値）、リスト形式で表示します。

{--no-header | -a}


{--no-footer | -z}

認証

isi auth settings mapping view 365


{--verbose | -v}


isi auth users create

ユーザーアカウントを作成します。

構文

isi auth users create ［<name>］[--enabled {yes | no}][--expiry ［<timestamp>］][--email ［<string>］][--gecos ［<string>］][--home-directory ［<path>］][--password ［<string>］][--password-expires {yes | no}][{--primary-group ［<name>］ | --primary-group-gid ［<integer>］| --primary-group-sid ［<string>］}]

[--prompt-password-change {yes | no}][--shell ［<path>］][--uid ［<integer>］][--zone ［<string>］][--provider ［<string>］][--set-password][--verbose][--force]


ユーザー名を指定します。


ユーザーを有効または無効にします。

{--expiry | -x} ［<timestamp>］［<YYYY>-<MM>-<DD>］という日付形式、または［<YYYY>-<MM>-DD> T<hh>:<mm>］[:<ss>] という日付/時刻形式を使用して、ユーザーアカウントが満了する時間を指定します。

--email［<string>］ユーザーのメールアドレスを指定します。

--gecos［<string>］ユーザーのパスワードの次の Gecos フィールドのエントリーの値を指定します。

Full Name:Office Location:Office Phone:Home Phone:Other information:

認証


値はコンマ区切りリストで入力する必要があり、スペースを含む値は引用符で囲む必要があります。たとえば、これらの値を持つ--gecos="Jane Doe",Seattle,555-5555,,"Temporary worker"オプションでは、次のエントリーが生成されます。

Full Name: Jane DoeOffice Location: SeattleOffice Phone: 555-5555Home Phone:Other information: Temporary worker

--home-directory［<path>］ユーザーのホームディレクトリへのパスを指定します。

--password［<string>］指定した値にユーザーのパスワードを設定します。このオプションは、--set-password オプションとともに使用することはできません。

--password-expires {yes | no}

パスワードを期限切れにするかどうかを指定します。

--primary-group［<name>］ユーザーのプライマリグループを名前で指定します。

--primary-group-gid［<integer>］ユーザーのプライマリグループを GID で指定します。

--primary-group-sid［<string>］ユーザーのプライマリグループを SID で指定します。

--prompt-password-change {yes | no}

ユーザーに次回のログイン時にパスワードを変更するように要求します。

--shell［<path>］UNIX ログインシェルへのパスを指定します。

--uid［<integer>］UNIX UID（ユーザー識別子）の自動アロケーションを指定した値で上書きします。このオプションを設定することは推奨されません。

--zone［<string>］ユーザーを作成するアクセスゾーンを指定します。

--provider［<string>］指定されたアクセスゾーンのローカル認証プロバイダーを指定します。

--set-passwordパスワードを対話形式で設定します。このオプションは、--password オプションとともに使用することはできません。

{--verbose | -v}


{--force | -f}


認証

isi auth users create 367

isi auth users delete

システムからローカルユーザーを削除します。

構文

isi auth users delete {［<user>］ | --uid ［<integer>］ | --sid ［<string>］} [--zone ［<string>］] [--provider ［<string>］] [--force] [--verbose]

オプションこのコマンドには、［<user>］、--uid［<integer>］、または--sid［<string>］が必要です。［<user>］




--zone［<string>］ユーザーを含むアクセスゾーンの名前を指定します。

--provider［<string>］ユーザーを含む認証プロバイダーの名前を指定します。

{--force | -f}


{--verbose | -v}


isi auth users flush

キャッシュされたユーザー情報をフラッシュします。

構文

isi auth users flush


例キャッシュされたすべてのユーザー情報をフラッシュするには、次のコマンドを実行します。

isi auth user flush

認証


isi auth users list

ユーザーの一覧を表示します。オプションが指定されていない場合は、システムアクセスゾーン内のすべてのユーザーが表示されます。

Active Directory ユーザーを一覧表示するには--domain オプションを指定する必要があります。

構文

isi auth users list[--domain ［<string>］][--zone ［<string>］][--provider ［<string>］][--limit ［<integer>］][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]

オプション--domain［<string>］

指定したプロバイダードメイン内のユーザーのみ表示します。

--zone［<string>］ユーザーを一覧表示するアクセスゾーンを指定します。デフォルトのアクセスゾーンはSystem です。

--provider［<string>］指定した認証プロバイダー内のユーザーのみ表示します。プロバイダーを指定する構文は［<provider-type>］:［<provider-name>］です。必ずコロン区切り文字を使用してください。たとえば、isi auth users list --provider="lsa-ldap-provider:Unix LDAP"のようにします。




{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


認証

isi auth users list 369

isi auth users modify

ローカルユーザーを変更します。

構文

isi auth users modify {［<user>］ | --uid ［<integer>］ | --sid［<string>］}

[--enabled {yes | no}][--expiry ［<timestamp>］][--unlock][--email ［<string>］][--gecos ［<string>］][--home-directory ［<path>］][--password ［<string>］][--password-expires {yes | no}][{--primary-group ［<string>］ | --primary-group-gid ［<integer>］| --primary-group-sid ［<string>］}]

[--prompt-password-change {yes | no}][--shell ［<path>］][--new-uid ［<integer>］][--zone ［<string>］][--add-group ［<name>］][--add-gid ［<id>］][--remove-group ［<name>］][--remove-gid ［<id>］][--provider ［<string>］][--set-password][--verbose][--force]

オプションこのコマンドには、［<user>］、--uid［<integer>］、または--sid［<string>］が必要です。［<user>］





ユーザーを有効または無効にします。

{--expiry | -x} ［<timestamp>］［<YYYY>-<MM>-<DD>］という日付形式、または［<YYYY>-<MM>-DD>］ [T<hh>:<mm>[:<ss>] という日付/時刻形式を使用して、ユーザーアカウントが期限切れになる時間を指定します。

--unlockユーザーアカウントがロックされている場合にロック解除します。

--email［<string>］ユーザーのメールアドレスを指定します。

認証


--gecos［<string>］ユーザーのパスワードの次の Gecos フィールドのエントリーの値を指定します。

Full Name: Office Location: Office Phone: Home Phone: Other information:

値はコンマ区切りリストで入力する必要があり、スペースを含む値は引用符で囲む必要があります。たとえば、これらの値を持つ--gecos="Jane Doe",Seattle,555-5555,,"Temporary worker"オプションでは、次のエントリーが生成されます。

Full Name: Jane DoeOffice Location: SeattleOffice Phone: 555-5555Home Phone:Other information: Temporary worker

--home-directory［<path>］ユーザーのホームディレクトリへのパスを指定します。

--password［<string>］指定した値にユーザーのパスワードを設定します。このオプションは、--set-password オプションとともに使用することはできません。

--password-expires {yes | no}

パスワードを期限切れにするかどうかを指定します。

--primary-group［<name>］ユーザーのプライマリグループを名前で指定します。

--primary-group-gid［<integer>］ユーザーのプライマリグループを GID で指定します。

--primary-group-sid［<string>］ユーザーのプライマリグループを SID で指定します。

--prompt-password-change {yes | no}

ユーザーに次回のログイン時にパスワードを変更するように要求します。

--shell［<path>］UNIX ログインシェルへのパスを指定します。

--new-uid［<integer>］ユーザーの新しい UID を指定します。このオプションを設定することは推奨されません。


--add-group［<name>］ユーザーを追加するグループの名前を指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--add-gid［<integer>］

認証

isi auth users modify 371

ユーザーを追加するグループの GID を指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-group［<name>］ユーザーを削除するグループの名前を指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--remove-gid［<integer>］ユーザーを削除するグループの GID を指定します。複数のリストアイテムを指定するには、このオプションを繰り返します。

--provider［<string>］［<type>:<instance>］の形式で認証プロバイダーを指定します。有効なプロバイダータイプは、ads、ldap、nis、file、local です。たとえば、auth1 という名前の LDAP プロバイダーは、ldap:auth1 と指定できます。

--set-passwordパスワードを対話形式で設定します。このオプションは、--password オプションとともに使用することはできません。

{--verbose | -v}


{--force | -f}


isi auth users view

履歴 SID（セキュリティ識別子）の履歴を含む、ユーザーのプロパティを表示します。

構文

isi auth users view {［<user>］ | --uid ［<integer>］ | --sid ［<string>］} [--cached] [--show-groups] [--resolve-names] [--zone ［<string>］] [--provider ［<string>］]

オプションこのコマンドには、［<user>］、--uid［<integer>］、--sid［<string>］のいずれかが必要です。［<user>］




--cachedキャッシュされた情報のみ返します。

認証


--show-groupsユーザーをメンバーとして含むグループを表示します。

--resolve-namesすべての関連グループおよび関連 ID の名前を解決します。


--provider［<string>］ユーザーを含む認証プロバイダーの名前を［<type>:<instance>］という形式で指定します。タイプの有効値は ads、ldap、nis、file、localです。たとえば、auth1 という名前の LDAP プロバイダーは ldap:auth1 と指定でき、Active Directory プロバイダーはads:YORK.east.com と指定できます。

isi certificate server delete

TLS（Transport Layer Security）サーバ証明書を削除します。

構文

isi certificate server delete ［<id>］[--force][--verbose]


証明書の ID です。

{--force | -f}

このコマンドでの確認プロンプトをスキップします。

{--verbose | -v}


isi certificate server import

TLS（Transport Layer Security）サーバ証明書と鍵をインポートします。

構文

isi certificate server import ［<certificate-path>］［<certificate-key-path>］

[--description ［<string>］][--default][--verbose]

オプション［<certificate-path>］

認証

isi certificate server delete 373

TLS証明書ファイルへの PEM形式のローカルパスです。証明書ファイルはシステムの証明書ストアにコピーされ、インポート後に削除することができます。このパスは OneFS ファイルシステム内の絶対パスでなければなりません。

［<certificate-key-path>］TLS証明書鍵ファイルへの PEM形式のローカルパスです。証明書鍵ファイルはシステムの証明書ストアにコピーされます。インポート後はセキュリティ上の理由で削除する必要があります。

--description［<string>］管理上の便宜を目的とする説明フィールドです。証明書に関するコメントを入力することができます。

--defaultSmartConnect ゾーンの完全修飾ドメイン名に一致する他のサーバ証明書がない場合、TLS が有効になっているサービスに SmartConnect ゾーンを経由して接続するために使用する証明書の名前を定義します。

{--verbose | -v}


isi certificate server list

TLS（Transport Layer Security）サーバ証明書の一覧を表示します。

構文

isi certificate server list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer} [--verbose]

オプション{--limit | -l}

表示する証明書サーバの数。


証明書サーバの一覧を、表、JSON、CSV、リスト形式で表示します。

{--no-header | -a}

ヘッダーは CSV および表形式で表示されません。

{--no-footer | -z}


{--verbose | -v}


isi certificate server modify

TLS（Transport Layer Security）サーバ証明書を変更します。

認証


構文

isi certificate server modify ［<id>］ [--default] [--description ［<string>］] [--verbose]



--defaultSmartConnect ゾーンの完全修飾ドメイン名に一致する他のサーバ証明書がない場合、TLS が有効になっているサービスに SmartConnect ゾーンを経由して接続するために使用する証明書の名前を定義します。

--description［<string>］管理上の便宜を目的とする説明フィールドです。証明書に関するコメントを入力することができます。

{--verbose | -v}


isi certificate server view

TLS（Transport Layer Security）サーバ証明書を表示します。

構文

isi certificate server view ［<id>］ [--format {list | json]}



--format {list | json}

証明書サーバの一覧を、リストまたは JSON形式で表示します。

認証

isi certificate server view 375

認証


第 7 章

管理者の役割と権限


l 役割に基づくアクセス制御.....................................................................................378l Roles................................................................................................................ 378l 権限................................................................................................................. 382l 役割の管理....................................................................................................... 390

管理者の役割と権限 377

役割に基づくアクセス制御役割に基づいたアクセスを割り当てて、管理タスクを選択したユーザーに委任できます。RBAC（役割に基づいたアクセス制御）では、特定の管理アクションを実行する権限を、クラスタに対して認証できる任意のユーザーに付与できます。役割は、セキュリティ管理者によって作成され、権限が割り当てられてから、メンバーが割り当てられます。役割によって権限を付与された管理者を含むすべての管理者が、クラスタを構成するために System ゾーンに接続する必要があります。これらのメンバーが構成インターフェイスを通じてクラスタにログインすると、これらの権限を持つようになります。すべての管理者は、アクセスゾーンの設定を構成でき、クラスタ上のすべてのアクセスゾーンの制御権を常に持ちます。役割を使用すると、メンバーユーザーとグループに権限を割り当てることができます。デフォルトでは、root ユーザーと admin ユーザーのみが、HTTP を使用してWeb管理インターフェイスに、またはSSH を通じてコマンドラインインターフェイスにログインできます。ロールを使用すると、root およびadmin ユーザーは、ログイン権限および特定の管理タスクを実行する管理権限を持つ組み込み型ロールまたはカスタムロールに他のユーザーを割り当てることができます。

ベストプラクティスとして、必要最低限の権限が含まれる役割にユーザーを割り当てることをお勧めします。ほとんどの目的では、デフォルトの権限ポリシー設定、システムアクセスゾーン、組み込み型の役割で十分です。必要に応じて、特定の環境用に役割に基づいたアクセス管理ポリシーを作成できます。

Roles役割を使用して、ユーザーごとに EMC Isilon クラスターの管理領域へのアクセスを許可および制限できます。OneFS には、いくつかの組み込みの管理者の役割と、変更不能な定義済みの権限が含まれています。カスタムの役割を作成して権限を割り当てることもできます。次のリストでは、役割を通じでできることとできないことを説明します。l 役割に権限を割り当てることができる。l カスタムの役割を作成し、それらの役割に権限を割り当てることができる。l 既存の役割をコピーすることができる。l ユーザーがクラスターを認証できる限り、ユーザーまたはよく知られたグループを含むユーザーグ

ループを役割に追加できる。l 複数の役割に、ユーザーまたはグループを追加できる。l ユーザーまたはグループに権限を直接割り当てることはできない。

OneFS が最初にインストールされるときは、root または管理レベルのアクセス権を持つユーザーのみがログインしてユーザーを役割に割り当てることができます。

カスタム役割カスタム役割は、組み込み型の役割を補完します。カスタム役割を作成して、EMC Isilon クラスター環境の管理領域にマッピングされる権限を割り当てることができます。たとえば、セキュリティ、監査、ストレージ、プロビジョニング、バックアップ用に個別の管理者役割を作成できます。



権限を役割に追加する際に、一部の権限を読み取り専用や読み取り/書き込みに設定できます。このオプションはいつでも変更し、ユーザーの責任の変更に合わせて権限を追加または削除することができます。

組み込みの役割組み込みの役割は OneFS に含まれ、一般的な管理機能を実行するために必要である可能性が最も高い権限を持つように構成されています。各組み込みの役割に割り当てられている権限のリストを変更することはできません。ただし、組み込みの役割にユーザーおよびグループを割り当てることができます。

SecurityAdmin の組み込みの役割SecurityAdmin の組み込みの役割は、認証プロバイダー、ローカルユーザーとグループ、役割のメンバーシップなど、クラスター上のセキュリティ構成を可能にします。

権限読み取り/書き込みアクセス

ISI_PRIV_LOGIN_CONSOLE 該当なし

ISI_PRIV_LOGIN_PAPI 該当なし

ISI_PRIV_LOGIN_SSH 該当なし

ISI_PRIV_AUTH 読み取り/書き込み

ISI_PRIV_ROLE 読み取り/書き込み

SystemAdmin の組み込みの役割SystemAdmin の組み込みの役割では、SecurityAdmin役割で明示的に対処されないすべてのクラスター構成の管理が可能です。

権限読み書きアクセス




ISI_PRIV_SYS_SHUTDOWN 該当なし

ISI_PRIV_SYS_SUPPORT 該当なし

ISI_PRIV_SYS_TIME

ISI_PRIV_SYS_UPGRADE

ISI_PRIV_ANTIVIRUS

ISI_PRIV_AUDIT

ISI_PRIV_CLOUDPOOLS

ISI_PRIV_CLUSTER

ISI_PRIV_DEVICES

ISI_PRIV_EVENT

ISI_PRIV_FILE_FILTER


組み込みの役割 379

読み取り/書き込み










ISI_PRIV_FTP

ISI_PRIV_HARDENING

ISI_PRIV_HDFS

ISI_PRIV_HTTP

ISI_PRIV_JOB_ENGINE

ISI_PRIV_LICENSE

ISI_PRIV_MONITORING

ISI_PRIV_NDMP

ISI_PRIV_NETWORK

ISI_PRIV_NFS

ISI_PRIV_NTP

ISI_PRIV_QUOTA

ISI_PRIV_REMOTE_SUPPORT

ISI_PRIV_SMARTPOOLS

ISI_PRIV_SMB

ISI_PRIV_SNAPSHOT

ISI_PRIV_SNMP

ISI_PRIV_STATISTICS

ISI_PRIV_SWIFT

ISI_PRIV_SYNCIQ

ISI_PRIV_VCENTER

ISI_PRIV_WORM

ISI_PRIV_NS_TRAVERSE 該当なし

ISI_PRIV_NS_IFS_ACCESS 該当なし

AuditAdmin の組み込みの役割AuditAdmin の組み込みの役割では、すべてのシステム構成設定を表示することができます。





ISI_PRIV_SYS_TIME 読み取り専用

ISI_PRIV_SYS_UPGRADE 読み取り専用

ISI_PRIV_ANTIVIRUS 読み取り専用


























ISI_PRIV_AUDIT 読み取り専用

ISI_PRIV_CLOUDPOOLS 読み取り専用

ISI_PRIV_CLUSTER 読み取り専用

ISI_PRIV_DEVICES 読み取り専用

ISI_PRIV_EVENT 読み取り専用

ISI_PRIV_FILE_FILTER 読み取り専用

ISI_PRIV_FTP 読み取り専用

ISI_PRIV_HARDENING 読み取り専用

ISI_PRIV_HDFS 読み取り専用

ISI_PRIV_HTTP 読み取り専用

ISI_PRIV_JOB_ENGINE 読み取り専用

ISI_PRIV_LICENSE 読み取り専用

ISI_PRIV_MONITORING 読み取り専用

SI_PRIV_NDMP 読み取り専用

ISI_PRIV_NETWORK 読み取り専用

ISI_PRIV_NFS 読み取り専用

ISI_PRIV_NTP 読み取り専用

ISI_PRIV_QUOTA 読み取り専用

ISI_PRIV_REMOTE_SUPPORT 読み取り専用

ISI_PRIV_SMARTPOOLS 読み取り専用

ISI_PRIV_SMB 読み取り専用

ISI_PRIV_SNAPSHOT 読み取り専用

ISI_PRIV_SNMP 読み取り専用

ISI_PRIV_STATISTICS 読み取り専用

ISI_PRIV_SWIFT 読み取り専用

ISI_PRIV_SYNCIQ 読み取り専用

ISI_PRIV_VCENTER 読み取り専用

ISI_PRIV_WORM 読み取り専用

BackupAdmin の組み込みの役割BackupAdmin の組み込みの役割は、/ifs からのファイルのバックアップとリストアを可能にします。


ISI_PRIV_IFS_BACKUP 読み取り専用

ISI_PRIV_IFS_RESTORE


組み込みの役割 381


VMwareAdmin の組み込みの役割VMwareAdmin の組み込みの役割は、VMware vCenter によって必要なストレージのリモート管理を可能にします。

権限読み取り/書き込みアクセス


ISI_PRIV_NETWORK

ISI_PRIV_SMARTPOOLS

ISI_PRIV_SNAPSHOT

ISI_PRIV_SYNCIQ

ISI_PRIV_VCENTER

ISI_PRIV_NS_TRAVERSE 該当なし

ISI_PRIV_NS_IFS_ACCESS 該当なし

権限ユーザーに権限を割り当てることで、EMC Isilon クラスターのタスクを実行できるようになります。権限は、ジョブエンジン、SMB、統計など、クラスターの管理領域と関連づけられます。権限は次のいずれかの形式をとります。アクション

ユーザーに、クラスターに対する特定のアクションの実行を許可します。たとえば、ISI_PRIV_LOGIN_SSH権限は、SSH クライアントを通じてクラスターにログインすることをユーザーに許可します。

読み取り/書き込み統計情報、スナップショット、クォータなど、構成サブシステムを表示または変更することをユーザーに許可します。たとえば、ISI_PRIV_SNAPSHOT権限は、管理者に対し、スナップショットとスナップショットスケジュールの作成および削除を許可します。読み取り/書き込み権限は、読み取り専用アクセスか読み取り/書き込みアクセスのいずれかを許可します。読み取り専用アクセスでは、ユーザーが構成設定を表示できます。読み書きアクセスでは、ユーザーが構成設定を表示および変更できます。

権限は、ユーザーが OneFS API、Web管理インターフェイス、SSH、コンソールセッションを通じてクラスターにログインする際に付与されます。ユーザーに付与されるすべての権限のリストが含まれるトークンが生成されます。各 URI、Web管理インターフェイスページ、コマンドには、各インターフェイスで使用する情報を表示または編集するための特定の権限が必要です。場合によっては、権限を付与することができないか、または権限の制限があります。l ログイン時に System ゾーンに接続しない場合や、推奨されない Telnet サービスを通じて接

続した場合、ユーザーが役割のメンバーであっても権限は付与されません。l 権限は、OneFS API外部の構成パスへの管理アクセスを提供しません。たとえば、

ISI_PRIV_SMB権限では、MMC（Microsoft管理コンソール）を使用して SMB共有を構成する権利をユーザーに付与しません。








l 権限は、すべてのログファイルへの管理アクセスを提供しません。ほとんどのログファイルにはroot アクセス権が必要です。

サポートされている OneFS の権限OneFS でサポートされている権限は、ユーザーに許可されるアクションまたはアクセスのタイプ別に分類されます（たとえば、ログイン、セキュリティ、構成権限）。

ログイン権限次の表に記載されているログイン権限では、ユーザーが特定のアクションを実行するのを許可するか、EMC Isilon クラスター上の管理領域への読み取りまたは書き込みアクセス権を付与します。

権限説明タイプ

ISI_PRIV_LOGIN_CONSOLE コンソールからのログイン。アクション

ISI_PRIV_LOGIN_PAPI プラットフォーム API とWeb管理インタフェースへのログイン。

アクション

ISI_PRIV_LOGIN_SSH SSH経由でのログイン。アクション

システム権限次の表に記載されているシステム権限では、ユーザーが特定のアクションを実行するのを許可するか、EMC Isilon クラスター上の管理領域への読み取りまたは書き込みアクセス権を付与します。


ISI_PRIV_SYS_SHUTDOWN システムをシャットダウンします。アクション

ISI_PRIV_SYS_SUPPORT クラスター診断ツールを実行します。

アクション

ISI_PRIV_SYS_TIME システム時間を変更します。

ISI_PRIV_SYS_UPGRADE OneFS システムをアップグレードします。

セキュリティ権限次の表に記載されているセキュリティ権限では、ユーザーが特定のアクションを実行するのを許可するか、EMC Isilon クラスター上の管理領域への読み取りまたは書き込みアクセス権を付与します。


ISI_PRIV_AUTH 外部認証プロバイダの構成。

ISI_PRIV_ROLE 新しい役割の作成と権限の割り当て。

構成権限次の表に記載されている構成権限では、ユーザーが特定のアクションを実行するのを許可するか、EMC Isilon クラスター上の管理領域への読み取りまたは書き込みアクセス権を付与します。


サポートされている OneFS の権限 383






ISI_PRIV_ANTIVIRUS アンチウイルススキャンを設定します。

ISI_PRIV_AUDIT 監査機能を構成します。

ISI_PRIV_CLOUDPOOLS CloudPools を構成します。

ISI_PRIV_CLUSTER クラスター ID と一般設定を構成します。

ISI_PRIV_DEVICES 新しい役割の作成と権限の割り当て。

ISI_PRIV_EVENT システムイベントの表示と変更。

ISI_PRIV_FILE_FILTER ファイルフィルタリング設定を構成します。

ISI_PRIV_FTP FTP サーバーを構成します。

ISI_PRIV_HDFS HDFS サーバーを構成します。

ISI_PRIV_HTTP HTTP サーバーを構成します。

ISI_PRIV_JOB_ENGINE クラスター全体のジョブをスケジュールします。

ISI_PRIV_LICENSE OneFS ソフトウェアライセンスのアクティベーション。

ISI_PRIV_MONITORING クラスターを監視するアプリケーションを登録します。

ISI_PRIV_NDMP NDMP サーバーを構成します。

ISI_PRIV_NETWORK ネットワークインターフェイスを構成します。

ISI_PRIV_NFS NFS サーバーを構成します。

ISI_PRIV_NTP NTP を構成します。

ISI_PRIV_QUOTA ファイルシステムクォータを構成します。

ISI_PRIV_REMOTE_SUPPORT

リモートサポートを構成します。

ISI_PRIV_SMARTPOOLS ストレージプールを構成します。

ISI_PRIV_SMB SMB サーバーを構成します。

ISI_PRIV_SNAPSHOT スナップショットをスケジュールし、取得し、表示します。

ISI_PRIV_SNMP SNMP サーバーを構成します。

ISI_PRIV_STATISTICS ファイルシステムパフォーマンス統計を表示します。

ISI_PRIV_SWIFT Swift を構成します。

ISI_PRIV_SYNCIQ SyncIQ を構成します。






























ISI_PRIV_VCENTER vCenter用 VMware を構成します。

ISI_PRIV_WORM SmartLock ディレクトリを構成します。

ファイルアクセス権限次の表に記載されているファイルアクセス権限では、EMC Isilon クラスター上の管理領域でユーザーが特定のアクションを実行するのを許可するか、その領域への読み取りまたは書き込みアクセス権を付与します。


ISI_PRIV_IFS_BACKUP /ifs からファイルをバックアップします。

この権限は、モードビットや NTFS

ACLなどの従来のファイルアクセスチェックを無効にします。

アクション

ISI_PRIV_IFS_RESTORE /ifs からファイルをリストアします。

この権限は、モードビットや NTFS

ACLなどの従来のファイルアクセスチェックを無効にします。

アクション

ISI_PRIV_IFS_WORM_DELETE

WORM にコミットされたファイルで特権的削除の操作を実行します。

root のユーザーアカウントでログインしていない場合は、ISI_PRIV_NS_IFS_ACCESS

の権限も必要です。

アクション

ネームスペースの権限次の表に記載されているネームスペース権限では、ユーザーが特定のアクションを実行するのを許可するか、EMC Isilon クラスター上の管理領域への読み取りまたは書き込みアクセス権を付与します。


ISI_PRIV_NS_TRAVERSE ディレクトリメタデータの横断と表示。

アクション


サポートされている OneFS の権限 385




ISI_PRIV_NS_IFS_ACCESS OneFS API により/ifs ディレクトリにアクセスします。

アクション

データバックアップおよびリストア権限クラスターデータバックアップおよびリストアアクションに対して明示的な権限をユーザーに割り当てることができます。次の 2 つの権限により、ユーザーはサポートされるクライアント側プロトコルでクラスタデータをバックアップおよびリストアできます。ISI_PRIV_IFS_BACKUP および ISI_PRIV_IFS_RESTORE。

これらの権限は、モードビットや NTFS ACLなどの従来のファイルアクセスチェックを回避します。

ほとんどのクラスタ権限では、何らかの方法でクラスタ構成を変更できます。バックアップおよびリストア権限では、System ゾーンからのクラスタデータへのアクセス、すべてのディレクトリのトラバース、ファイル権限に関係なくすべてのファイルデータおよびメタデータの読み取りが可能です。これらの権限を割り当てられたユーザーは、アクセス拒否エラーを生成することや root ユーザーとして接続することなく、プロトコルを別のマシンへのバックアッププロトコルとして使用します。この 2 つの権限は、次のクライアント側プロトコルでサポートされます。l SMB

l NFS

l OneFS API

l FTP

l SSH

SMB では、ISI_PRIV_IFS_RESTORE権限と ISI_PRIV_IFS_RESTORE権限はWindows権限の SE_BACKUP_NAME および SE_BACKUP_NAME をエミュレートします。エミュレーションは、通常のファイルを開く手順がファイルシステム権限によって保護されることを意味します。SMBプロトコル上でバックアップおよびリストア権限を有効化するには、FILE_OPEN_FOR_BACKUP_INTENT オプションを指定してファイルを開く必要があります。これは、RobocopyなどのWindowsバックアップソフトウェアを通じて自動的に行われます。オプションの適用は、ファイルがWindows ファイルエクスプローラーなどの一般的なファイル参照ソフトウェアを通じて開かれた場合は自動的に行われません。ISI_PRIV_IFS_BACKUP権限と ISI_PRIV_IFS_RESTORE権限の両方が、基本的にRobocopyなどのWindowsバックアップツールをサポートします。ユーザーは、ファイル DACL および SACL のメタデータのコピーを含むすべての Robocopy機能にアクセスするには BackupAdmin組み込み型役割のメンバーである必要があります。

コマンドラインインターフェイス権限権限によって付与されるほとんどのタスクは CLI（コマンドラインインターフェイス）を使用して実行できます。一部の OneFS コマンドにはルートアクセス権が必要です。



コマンドと権限のマッピング各 CLI コマンドは、権限に関連づけられています。一部のコマンドにはルートアクセス権が必要です。

isi コマンド権限

isi antivirus ISI_PRIV_ANTIVIRUS

isi audit ISI_PRIV_AUDIT

isi auth、isi auth roles以外 ISI_PRIV_AUTH

isi auth roles ISI_PRIV_ROLE

isi batterystatus ISI_PRIV_DEVICES

isi cloud ISI_PRIV_CLOUDPOOLS

isi config root

isi dedupe、isi dedupe stats以外 ISI_PRIV_JOB_ENGINE

isi dedupe stats ISI_PRIV_STATISTICS

isi devices ISI_PRIV_DEVICES

isi email ISI_PRIV_CLUSTER

isi event ISI_PRIV_EVENT

isi fc ISI_PRIV_NDMP

isi file-filter ISI_PRIV_FILE_FILTER

isi filepool ISI_PRIV_SMARTPOOLS

isi ftp ISI_PRIV_FTP

isi get root

isi hardening ISI_PRIV_HARDENING

isi hdfs ISI_PRIV_HDFS

isi http ISI_PRIV_HTTP

isi job ISI_PRIV_JOB_ENGINE

isi license ISI_PRIV_LICENSE

isi ndmp ISI_PRIV_NDMP

isi network ISI_PRIV_NETWORK

isi nfs ISI_PRIV_NFS

ifs ntp ISI_PRIV_NTP

isi quota ISI_PRIV_QUOTA

isi readonly ISI_PRIV_DEVICES

isi remotesupport ISI_PRIV_REMOTE_SUPPORT

isi servicelight ISI_PRIV_DEVICES

isi services root


コマンドラインインターフェイス権限 387

isi コマンド権限

isi set root

isi smb ISI_PRIV_SMB

isi snapshot ISI_PRIV_SNAPSHOT

isi snmp ISI_PRIV_SNMP

isi statistics ISI_PRIV_STATISTICS

isi status ISI_PRIV_EVENTISI_PRIV_DEVICES

ISI_PRIV_JOB_ENGINE

ISI_PRIV_NETWORK

ISI_PRIV_SMARTPOOLS

ISI_PRIV_STATISTICS

isi storagepool ISI_PRIV_SMARTPOOLS

isi swift ISI_PRIV_SWIFT

isi sync ISI_PRIV_SYNCIQ

isi tape ISI_PRIV_NDMP

isi time ISI_PRIV_SYS_TIME

isi upgrade ISI_PRIV_SYS_UPGRADE

isi version ISI_PRIV_CLUSTER

isi worm（isi worm files delete を除く） ISI_PRIV_WORM

isi worm files delete ISI_PRIV_IFS_WORM_DELETE

isi zone ISI_PRIV_AUTH

権限とコマンドのマッピング各権限は 1 つまたは複数のコマンドに関連づけられています。一部のコマンドにはルートアクセス権が必要です。

権限 isi コマンド

ISI_PRIV_ANTIVIRUS isi antivirus

ISI_PRIV_AUDIT isi audit

ISI_PRIV_AUTH isi auth（isi auth role を除く）isi zone

ISI_PRIV_CLOUDPOOLS isi cloud

ISI_PRIV_CLUSTER isi emailisi version

ISI_PRIV_DEVICES isi batterystatusisi devices

isi readonly




isi servicelight

isi status

ISI_PRIV_EVENT isi eventisi status

ISI_PRIV_FILE_FILTER isi file-filter

ISI_PRIV_FTP isi ftp

ISI_PRIV_HARDENING isi hardening

ISI_PRIV_HDFS isi hdfs

ISI_PRIV_HTTP isi http

ISI_PRIV_JOB_ENGINE isi jobisi dedupe

isi status

ISI_PRIV_LICENSE isi license

ISI_PRIV_NDMP isi fcisi tape

isi ndmp

ISI_PRIV_NETWORK isi networkisi status

ISI_PRIV_NFS isi nfs

ISI_PRIV_NTP isi ntp

ISI_PRIV_QUOTA isi quota

ISI_PRIV_REMOTE_SUPPORT isi remotesupport

ISI_PRIV_ROLE isi auth role

ISI_PRIV_SMARTPOOLS isi filepoolisi storagepool

isi status

ISI_PRIV_SMB isi smb

ISI_PRIV_SNAPSHOT isi snapshot

ISI_PRIV_SNMP isi snmp

ISI_PRIV_STATISTICS isi statusisi statistics

isi dedupe stats

ISI_PRIV_SWIFT isi swift

ISI_PRIV_SYNCIQ isi sync

ISI_PRIV_SYS_TIME isi time

ISI_PRIV_SYS_UPGRADE isi upgrade


コマンドラインインターフェイス権限 389


ISI_PRIV_WORM isi worm（isi worm files delete を除く）

ISI_PRIV_IFS_WORM_DELETE isi worm files delete

root l isi config

l isi get

l isi services

l isi set

役割の管理任意の役割のメンバーを表示、追加、削除することができます。権限を変更できない組み込み型の役割を除き、役割単位で OneFS権限を追加または削除することができます。

役割ではユーザーおよびグループの両方をメンバーと見なします。グループが役割に追加された場合、そのグループのメンバーであるすべてのユーザーに、その役割に関連づけられた権限が割り当てられます。同様に、複数の役割を持つメンバーは、各役割の統合された権限が割り当てられます。

役割の表示組み込み型およびカスタム役割に関する情報を表示できます。手順

1. 次のいずれかのコマンドを実行して役割を表示します。l クラスターのすべての役割の基本リストを表示するには、次のコマンドを実行します。

isi auth roles list

l クラスターの各役割について詳細情報（メンバーおよび権限のリストを含む）を表示するには、次のコマンドを実行します。

isi auth roles list --verbose

l 単一の役割について詳細情報を表示するには、次のコマンドを実行します。ここで、［<role>］は役割の名前です。

isi auth roles view <role>

権限の表示ユーザー権限を表示できます。この手順は、CLI（コマンドラインインターフェイス）を介して実行する必要があります。次のコマンドを使用して、別のユーザーの権限のリストを表示できます。



手順1. クラスター内の任意のノードへの SSH接続を確立します。2. 権限を表示するには、次のコマンドのいずれかを実行します。

l すべての権限のリストを表示するには、次のコマンドを実行します。

isi auth privileges --verbose

l 自身の権限のリストを表示するには、次のコマンドを実行します。

isi auth id

l 別のユーザーの権限のリストを表示するには、次のコマンドを実行します。ここで、［<user>］は名前で指定する別のユーザーのプレースホルダーです。

isi auth mapping token <user>

カスタム役割の作成と変更空のカスタム役割を作成し、役割にユーザーと権限を追加できます。手順

1. クラスター内の任意のノードへの SSH接続を確立します。2. 次のコマンドを実行して役割を作成します。ここで、［<name>］は役割に割り当てる名前

で、［<string>］はオプションの説明を指定します。

isi auth roles create ［<name>］ [--description ［<string>］]

3. 次のコマンドを実行して役割にユーザーを追加します。ここで、［<role>］は役割の名前、［<string>］はユーザーの名前です。

isi auth roles modify ［<role>］ [--add-user ［<string>］]

組み込み型の役割に割り当てられているユーザーのリストを変更することもできます。

4. 次のコマンドを実行して、役割に読み取り/書き込みアクセス権のある権限を追加します。ここで、［<role>］は役割の名前、［<string>］は権限の名前です。

isi auth roles modify ［<role>］ [--add-priv ［<string>］]

5. 次のコマンドを実行して、役割に読み取り専用アクセス権のある権限を追加します。ここで、［<role>］は役割の名前、［<string>］は権限の名前です。

isi auth roles modify ［<role>］ [--add-priv-ro ［<string>］]


カスタム役割の作成と変更 391

カスタム役割の削除役割を削除しても、それに割り当てられている権限またはユーザーには影響しません。組み込み型の役割は削除できません。手順

1. カスタム役割を削除するには、次のコマンドを実行します。ここで、［<name>］は削除する役割の名前です。

isi auth roles delete <name>



第 8 章

ID管理


l ID管理の概要................................................................................................... 394l ID タイプ.............................................................................................................394l アクセストークン.................................................................................................. 395l アクセストークンの生成........................................................................................ 396l ID マッピング管理................................................................................................ 402l ユーザー ID の管理............................................................................................. 405

ID管理 393

ID管理の概要複数の異なるタイプのディレクトリサービスがある環境では、OneFSはユーザーとグループを別々のサービスからマップして、受信プロトコルにかかわらず、EMC Isilon クラスタに単一の統一 ID と、ファイルおよびディレクトリへの統合アクセス制御を提供します。このプロセスは ID マッピングと呼ばれます。一般に、Isilon クラスタは、Active Directoryや LDAPなど、複数のタイプのディレクトリサービスがあるマルチプロトコル環境に導入されます。複数のディレクトリサービスにアカウントを持つユーザーがクラスタにログインすると、OneFSはすべてのディレクトリサービスからのユーザーの ID と権限をネイティブアクセストークンに結合します。ユーザー ID と権限を制御するためのトークン操作のルールのリストを含むように OneFS設定を行えます。たとえば、Active Directory ID と LDAP ID を、SMB と NFS の両方で格納されるファイルへのアクセスに対して動作する単一のトークンにマージするように、ユーザーマッピングルールを設定できます。トークンには、Active Directory と LDAP からのグループを含めることができます。作成するマッピングルールでは、次の例のような多くの方法でアクセストークンを操作することで ID の問題を解決できます。l ユーザーを Active Directory で認証するが、ユーザーに UNIX ID を提供する。l Active Directory または LDAP で競合する選択肢からプライマリグループを選択する。l Active Directory と LDAP の両方に存在しないユーザーのログインを禁止する。ID管理の詳細については、EMC オンラインサポートのホワイトペーパー「Managing identitieswith the Isilon OneFS user mapping service」を参照してください。

ID タイプOneFS では 3 タイプのプライマリ ID タイプがサポートされており、それぞれをファイルシステム上に直接格納できます。ID タイプとは、UNIX のユーザー識別子とグループ識別子、およびWindows のセキュリティ識別子です。EMC Isilon クラスタにログオンすると、ユーザーマッパーがユーザー ID を拡張し、ActiveDirectory、LDAP、NISなど、すべてのディレクトリサービスの ID を追加します。OneFS によってディレクトリサービス間で ID がマップされた後、アカウントに関連づけられている識別情報を含むアクセストークンが生成されます。トークンには次の ID が含まれています。l UNIX UID（ユーザー識別子）および GID（グループ識別子）。UID と GIDは 32 ビットの数

値であり、最大値は 4,294,967,295 です。l Windows ユーザーアカウントの SID（セキュリティ識別子）。SIDは、32 ビットの RID（相対

ID）で終わる一連の権限と副権限です。大半の SID は、S-1-5-21-<A>-<B>-<C>-<RID> の形式になっています。ここで、［<A>］、［<B>］、［<C>］は、ドメインまたはコンピューターに固有であり、［<RID>］は、ドメイン内のオブジェクトを表します。

l Windows グループアカウントのプライマリグループ SID。l ユーザーがメンバーとなっているすべてのグループを含む補足 ID のリスト。トークンには、管理役割に基づいたアクセス制御から生じた権限も含まれます。Isilon クラスタでは、ファイルには ACL（アクセスコントロールリスト）として表示される権限が含まれます。ACLは、ディレクトリ、ファイル、その他の保護可能なシステムオブジェクトへのアクセスも制御します。ユーザーがファイルにアクセスしようとすると、OneFSはユーザーのアクセストークン内の ID をファイルの ACL と比較します。OneFSは、ファイルの ACL に、トークン内の ID にファイルへのアクセスを許

ID管理


可する ACE（アクセス制御エントリー）が含まれ、ID によるアクセスを拒否する ACE が含まれない場合にアクセス権を付与します。OneFSは、ユーザーのアクセストークンをファイルの ACL と比較します。

権限の説明や、それらが POSIX モードビットにどのように対応するかなど、アクセスコントロールリストの詳細については、EMC オンラインサポートWeb サイトにあるホワイトペーパー「統合セキュリティモデルによる EMC Isilon マルチプロトコルデータアクセス」を参照してください。

名前が ID として渡された場合、対応するユーザーまたはグループオブジェクトと正しい ID タイプに変換されます。名前はさまざまな方法で入力および表示できます。l UNIX では、ユーザーとグループに対し、一意の、大文字と小文字が区別されるネームスペース

が仮定されています。たとえば、「Name」と「name」は異なるオブジェクトを表します。l Windowsは、すべてのオブジェクトに対し、単一の、大文字と小文字を区別しないネームスペ

ースを提供し、Active Directory ドメインをターゲットとするプレフィックス（domain\nameなど）も指定します。

l Kerberos と NFSv4はプリンシパルを定義し、名前がメールアドレスと同じ形式になっている必要があります（[email protected]など）。

複数の名前が同じオブジェクトを指すことができます。たとえば、名前「support」とドメイン「example.com」がある場合、support、EXAMPLE\support、[email protected]は、すべて Active Directory内の単一のオブジェクトの名前です。

アクセストークンアクセストークンは、ユーザーが初回のアクセスリクエストを行ったときに作成されます。アクセストークンは、クラスターに対してアクションを実行するユーザーを表し、ファイル作成時に使用するプライマリオーナーとグループ ID を提供します。また、アクセストークンは、許可チェック時にACLやモードビットと比較されます。ユーザー許可の際、OneFSは、最初の接続中に生成されたアクセストークンを、ファイルに関する許可データと比較します。ユーザーと ID のすべてのマッピングは、トークン生成中に行われます。マッピングは権限の評価時には行われません。アクセストークンには、すべての OneFS権限に加え、1 つの ID に対するすべての UID、GID、SIDが含まれます。 OneFSはトークン内の情報を読み取り、ユーザーがリソースに対するアクセス権を持っているかどうかを判定します。トークンには、常に UID、GID、SID の正しいリストが含まれていることが重要です。アクセストークンは次のソースのいずれかから作成されます。

ソース認証

ユーザー名 l SMB偽装ユーザーl Kerberos NFSv3

l Kerberos NFSv4

l NFS エクスポートユーザーマッピングl HTTP

l FTP

l HDFS

ID管理

アクセストークン 395

ソース認証

PAC（Privilege Attribute Certificate） l SMB NTLM

l Active Directory Kerberos

UID（ユーザー識別子） l NFS AUTH_SYS マッピング

アクセストークンの生成ほとんどのプロトコルで、アクセストークンはユーザー名または認証時に取得された許可データから生成されます。アクセストークンを生成するプロセスは複雑ですが、次のステップで簡略化した概要を示します。ステップ 1：ユーザー IDの検索

アクセスゾーンのすべての構成済み認証プロバイダーで、リストされている順番に、初期 ID を使用してユーザーを検索します。ユーザー ID とグループリストが、認証プロバイダーから取得されます。次に、ユーザーとグループリストに関連した追加グループメンバーシップがその他のすべての認証プロバイダーで検索されます。これら SID、UID、GID がすべて初期トークンに追加されます。

この動作の例外は、AD プロバイダーが LDAPや NISなど他のプロバイダーを呼び出すように構成されている場合です。

ステップ 2：ID マッピングユーザー IDはすべてディレクトリサービスに関連づけられます。すべての SIDは同等のUID/GID に変換され、逆に UID/GIDは同等の SID に変換されます。これらの ID マッピングは、アクセストークンにも追加されます。

ステップ 3：ユーザーマッピング他のディレクトリサービスからのアクセストークンは統合されます。ユーザー名がいずれかのユーザーマッピングルールに一致する場合、ルールが順番に処理され、それに応じてトークンが更新されます

ステップ 4：オンディスク IDの計算デフォルトのオンディスク IDは、最終トークンとグローバル設定を使用して計算されます。これらの IDは、新たに作成されたファイルに対して使用されます。

ID マッピングID（アイデンティティ）マッピングサービスは、マップされたWindows識別子と UNIX識別子間の関係情報を管理して、アクセスゾーン内のファイル共有プロトコル間での整合性のあるアクセス制御を提供します。

ID マッピングとユーザーマッピングは、名前は似ていますが異なるサービスです。

ID管理


認証時に、認証デーモンは、アクセストークンを作成するために ID マッピングサービスに ID マッピングをリクエストします。リクエストされると、ID マッピングサービスは UNIX識別子にマッピングされたWindows識別子、またはWindows識別子にマッピングされた UNIX識別子を返します。ユーザーが NFS経由で UID または GID を使用してクラスターに認証されると、ID マッピングサービスは、マッピングされたWindows SID を返し、別のユーザーが SMB経由で格納したファイルにアクセスできるようにします。ユーザーが SMB経由で SID を使用してクラスターに認証されると、ID マッピングサービスは、マッピングされた UNIX UID および GID を返し、UNIX クライアントが NFS経由で格納したファイルにアクセスできるようにします。UID または GID と SID の間のマッピングは、アクセスゾーンに応じて ID マップと呼ばれるクラスター分散データベースに格納されます。 ID マップ内の各マッピングは、ソース ID タイプからターゲット IDタイプへの一方向の関係として格納されます。双方向のマッピングが、補助的な一方向のマッピングとして格納されます。

Windows ID から UNIX ID へのマッピングSID でWindows ユーザー認証を行う場合、認証デーモンは外部 Active Directory プロバイダーを検索して、SID に関連づけられているユーザーまたはグループを検索します。ユーザーまたはグループが Active Directory に SID のみ持つ場合、認証デーモンは ID マッピングサービスにマッピングをリクエストします。

ユーザーおよびグループの検索は、Active Directory設定に応じて無効化または制限されることがあります。 isi auth ads modify コマンドを使用して、ユーザーおよびグループ検索を有効化します。

ID マッピングサービスで ID マップにマップされた UID または GID が見つからず返されない場合、認証デーモンは、Active Directory ユーザーと同じ名前と一致するユーザーを同じアクセスゾーンに構成されている他の外部認証プロバイダーで検索します。一致するユーザー名が他の外部プロバイダーに見つかった場合、認証デーモンは一致するユーザーの UID または GID を Active Directory ユーザーのアクセストークンに追加し、ID マッピングサービスは UID または GID と ID マップ内の Active Directory ユーザーの SID との間のマッピングを ID マップに作成します。これは、［外部マッピング］と呼ばれます。

外部マッピングが ID マップに格納される場合は、UID がそのユーザーのオンディスク ID として指定されます。 ID マッピングサービスが生成されたマッピングを格納する場合は、SID がオンディスク ID として指定されます。

一致するユーザー名が別の外部プロバイダーに見つからない場合、認証デーモンは、ID マッピング範囲の UID または GID を Active Directory ユーザーの SID に割り当て、ID マッピングサービスはマッピングを ID マップに格納します。これは、［生成されたマッピング］と呼ばれます。 ID マッピング範囲は、マッピング設定で割り当て済みの UID および GID のプールです。ユーザーに対してマッピングが作成された後、認証デーモンは、ユーザーの後続の検索時に、ID マップに格納されている UID または GID を取得します。

UNIX ID からWindows ID へのマッピングID マッピングサービスは、マッピングがまだ存在しない場合のみ、UID から SID および GID から SIDへの一時的なマッピングを作成します。これらのマッピングから得られる UNIX SID がディスク上に格納されることはありません。UID および GIDは、SID に対して事前定義されるマッピングのセットです。

ID管理

ID マッピング 397

認証時に UID から SID または GID から SID へのマッピングがリクエストされた場合、ID マッピングサービスは、次のルールを適用することで S-1-22-1-<UID> または S-1-22-2-<GID> の形式の一時的な UNIX SID を生成します。l UID の場合、ID マッピングサービスは、S-1-22-1 のドメインと、UID と一致する RID（リソース

ID）を使用して、UNIX SID を生成する。たとえば、UID 600 の UNIX SIDは S-1-22-1-600です。

l GID の場合、ID マッピングサービスは、S-1-22-2 のドメインと、GID と一致する RID を使用して、UNIX SID を生成する。たとえば、GID 800 の UNIX SIDは S-1-22-2-800 です。

ID マッピング範囲Active Directoryや LDAPなどの複数の外部認証プロバイダーがあるアクセスゾーンでは、同じアクセスゾーンに構成されている異なるプロバイダーの UID と GID が重ならないことが重要です。アクセスゾーン内のプロバイダー間で UID と GID が重なっていると、一部のユーザーが他のユーザーのディレクトリとファイルにアクセスできることがあります。生成されたマッピングに割り当てることのできる UID と GID の範囲は、isi auth settingsmappings modify コマンドを使用して各アクセスゾーンで構成できます。各アクセスゾーンのUID と GID の両方のデフォルト範囲は 1000000～2000000 です。共用の UID と GID を ID の範囲に含めないでください。たとえば、1000未満の UID と GIDはシステムアカウント用に予約されているので、ユーザーやグループに割り当てないでください。

ユーザーマッピングユーザーマッピングでは、ユーザーのセキュリティ識別子、ユーザー識別子、グループ識別子を指定することにより、権限を制御する方法が提供されます。 OneFSは、ファイルまたはグループ所有権をチェックする ID を使用します。ユーザーマッピング機能により、OneFS で使用するユーザー ID の変更、補足のユーザー ID の追加、ユーザーのグループメンバーシップの変更を行うルールを適用できます。ユーザーマッピングサービスでは、異なるディレクトリサービスからのユーザーの ID を単一のアクセストークンに組み合わせ、作成したルールに従ってそれを変更します。

マッピングルールはゾーンごとに構成できます。マッピングルールは、それを使用する各アクセスゾーンで個別に構成する必要があります。 OneFS でユーザーマッピングが実行されるのは、ログイン時またはプロトコルアクセス時のみです。

デフォルトのユーザーマッピングユーザーマッピングルールが明示的に作成されていない場合、アクセス権はデフォルトのユーザーマッピングによって決まります。ルールを構成しない場合、1 つのディレクトリサービスで認証されるユーザーは、アカウント名が同じ場合に他のディレクトリサービスの識別情報を受け取ります。たとえば、Active Directory ドメインで Desktop\jane として認証されたユーザーには、jane に対応する UNIX ユーザーアカウントの IDが LDAP または NIS から自動的に提供されます。最も一般的なシナリオでは、OneFSは Active Directory と LDAP の 2 つのディレクトリサービスに接続されます。このようなケースでは、ユーザーがデフォルトのマッピングによって次の ID属性を受け取ります。l LDAP の UID

l Active Directory のユーザー SID

ID管理


l Active Directory のデフォルトグループの SID

ユーザーのグループは Active Directory および LDAP から取得され、リストに LDAP グループと自動生成されたグループ GID が追加されます。 LDAP からグループを取得するには、マッピングサービスで memberUid属性をクエリーします。ユーザーのホームディレクトリ、gecos、シェルが ActiveDirectory から取得されます。

ユーザーマッピングルールの要素演算子とユーザー名を組み合わせて、ユーザーマッピングルールを作成します。次の要素が、ユーザーマッパーによるルールの適用方法に影響します。l ルールが実行する演算を決定する演算子l ユーザー名用のフィールドl オプションl パラメーターl ワイルドカード

ユーザーマッピングのベストプラクティス次のベストプラクティスに従うことで、ユーザーマッピングをシンプル化できます。

Active Directory、RFC 2307、Windows Services for UNIX を使用するMicrosoft Active Directory、Windows Services for UNIX、RFC 2307属性を使用して、Linux、UNIX、Windows システムを管理します。 UNIX システムおよび Linux システムとActive Directory を統合すると、ID管理の一元化と相互運用性の向上が実現し、その結果、ユーザーマッピングルールの必要性を減らすことができます。ご使用のドメインコントローラーでWindows Server 2003以降が稼働していることが必要です。

一貫性のあるユーザー命名方法を採用する最も単純な構成では、ユーザーに一貫性のある名前を付けて、各 UNIX ユーザーを、類似した名前を持つWindows ユーザーに対応させます。このような規則では、ワイルドカードを使用したルールによって、名前を一致させ、各アカウントペアを明示的に指定することなくそれらの名前をマッピングすることができます。

重複する ID範囲を使用しないLDAP および RFC 2307属性を持つ Active Directory のような、複数のアイデンティティソースが存在するネットワークでは、UID の範囲と GID の範囲が重複しないようにする必要があります。 OneFS が自動的に割り当てる UID と GID の範囲が、他の ID の範囲と重複しないことも重要です。 OneFS で UID と GID の自動割り当てに使用する範囲は、1,000,000～2,000,000 です。UID と GID が複数のディレクトリサービスで重複している場合、一部のユーザーが他のユーザーのディレクトリとファイルにアクセスできるようになることがあります。

共通 UIDおよび GIDの使用を回避共用の UID と GID を ID の範囲に含めないでください。たとえば、1000未満の UID と GIDはシステムアカウント用に予約されているので、ユーザーやグループに割り当てないでください。

UPN をマッピングルールで使用しないユーザーマッピングルール内で UPN（ユーザープリンシパル名）を使用することはできません。UPNは、Active Directory ドメインとユーザー名を@記号を使用してインターネットスタイルに結合した名前です（メールアドレス： jane@exampleなど）。ルールに UPN を含めた場合、マッピングサービスはそれを無視し、エラーが返される可能性があります。代わりに、DOMAIN\user.com の形式で名前を指定してください。

ID管理

ユーザーマッピング 399

ルールをタイプ別にグループ化して順序づけるシステムは、デフォルトではすべてのマッピングルールを処理しますが、不明ユーザーのアクセスをすべて拒否するルールなどを適用すると、問題が発生する可能性があります。また、置換ルールでは、ワイルドカード文字を含むルールとやり取りする場合があります。複雑さを最小限に抑えるには、タイプ別にルールをグループ化し、それらのルールを次の順序で編成することをお勧めします。

1. 置換ルール： ID を置き換えるルールを先頭に配置し、OneFS がその ID のすべてのインスタンスを置き換えることができるようにします。

2. 結合、追加、挿入ルール：置換操作で名前を設定したら、結合、追加、挿入の各ルールを使用して、予備の識別子を追加します。

3. 許可、拒否ルール：アクセスを許可または拒否するルールを最後に設定します。

デフォルトの拒否ルールを適用する前に、すべての処理を停止してください。これを行うには、許可ユーザーに一致しても、何も実行せず（フィールドオプションなしの加算演算子など）、ブレークオプションを持つルールを作成します。許可ユーザーを列挙した後にキャッチオール拒否を最後に配置すると、一致しないユーザーがいれば、空のユーザーで置き換えることができます。

明示的ルールがスキップされないようにするには、各ルールのグループで、ワイルドカード文字が含まれるルールの前に明示的ルールを指定します。

LDAP または NISプライマリグループを補足グループに追加するIsilon クラスターが Active Directory と LDAP に接続されている場合、LDAP プライマリグループを補足グループの一覧に追加するのがベストプラクティスです。これにより、OneFSは、NFS経由で作成されたファイルまたは他の UNIX ストレージシステムから移行されたファイルのグループ権限を継承することができます。 Isilon クラスターが Active Directory と NIS の両方に接続されている場合にも、同じプラクティスに従うことをお勧めします。

オンディスク ID

ユーザーマッパーがユーザーの ID を解決した後、OneFSはその信頼できる識別子を判断します。この識別子は優先されるオンディスク ID です。OnesFS では、ディスク上に UNIX ID またはWindows ID のいずれかをファイルメタデータで格納します。オンディスク ID タイプは UNIX、SID と、ネイティブです。ファイルの作成時またはファイルのアクセス制御データの変更時に、ID が設定されます。ほぼすべてのプロトコルで、正しい動作にはある程度のマッピングが必要になるため、ディスクに格納する優先 ID を選択することが重要です。UNIX ID またはWindows ID のいずれかを格納するように OneFS を構成できます。または、格納する最適な ID を OneFS で決定することもできます。オンディスク ID タイプは UNIX、SID と、ネイティブです。オンディスク ID のタイプは変更できますが、UNIX およびWindows システムではネイティブ ID がネットワークに最適です。ネイティブオンディスク ID モードでは、UID をオンディスク ID として設定すると NFSパフォーマンスが向上します。

SID のオンディスク IDは、Active Directory のみで管理するWindows システムで構成される同種ネットワーク用です。 OneFS 6.5 より古いバージョンからアップグレードすると、オンディスク IDは「UNIX」に設定されます。 OneFS 6.5以降のバージョンからアップグレードすると、オンディスク IDの設定は保持されます。新規インストールでは、オンディスク ID が「ネイティブ」に設定されます。

ID管理


ネイティブオンディスク ID タイプでは、OneFS認証デーモンが次の順序で ID マッピングタイプをチェックすることで、ディスクに格納する正しい ID を選択します。

順序マッピングタイプ説明

1 アルゴリズムマッピング内部 ID マッピングデータベース内の S-1-22-1-UIDや S-1-22-2-

GID と一致する SID が、対応するUNIX ID に再変換され、UID とGID がオンディスク ID として設定されます。

2 外部マッピングディレクトリサービス（RFC 2307

属性を持つ Active Directory、LDAP、NIS、OneFS ファイルプロバイダー、ローカルプロバイダーなど）に定義されている明示的なUID と GID を持つユーザーは、オンディスク ID として設定されたUNIX ID を持ちます。

3 永続的なマッピングマッピングは、ID マッパーデータベースに永続的に格納されます。 ID

マッパーデータベースに永続的なマッピングを持つ IDは、そのマッピングの宛先をオンディスク ID として使用します。これは主に手動 ID

マッピングで行われます。たとえば、GID：10000 をS-1-5-32-545 に ID マッピングする場合、オンディスクストレージGID：10000 をリクエストするとS-1-5-32-545 が返されます。

4 マッピングなし他のディレクトリサービスや ID データベースを照会しても UIDや GID

が見つからない場合、そのユーザーの SID がオンディスク ID として設定されます。また、ユーザーがNFS経由でファイルにアクセスできるようにするために、OneFSは事前設定された 1,000,000～2,000,000 の範囲から UID とGID を割り当てます。ネイティブオンディスク ID モードでは、OneFS

によって生成される UID またはGIDはオンディスク ID として設定されません。

オンディスク ID のタイプを変更する場合、変換モードで PermissionRepair ジョブを実行し、全ファイルのディスク表現を設定の変更前後で一致させる必要があります。

ID管理

オンディスク ID 401

ID マッピング管理ID マッピングの作成、変更、削除、および ID マッピング設定を行うことができます。

ID マッピングの作成ソース ID とターゲット ID間の手動 ID マッピングを作成するか、ソース ID のマッピングを自動的に生成できます。この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping create コマンドを実行します。

次のコマンドは、zone3 アクセスゾーンのソースとターゲットの ID を指定して、ID間の 2方向マッピングを作成します。

isi auth mapping create --2way --source-sid=S-1-5-21-12345 \--target-uid=5211 --zone=zone3

ID マッピングの変更ID マッピングの構成を変更できます。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping modify コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーンの UID 4236 のユーザーのマッピングが変更され、ソース ID とターゲット ID間に逆の 2方向マッピングが含められます。

isi auth mapping modify --source-uid=4236 \--target-sid=S-1-5-21-12345 --zone=zone3 --2way

ID マッピングの削除1 つ以上の ID マッピングを削除できます。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping delete コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーンのすべての ID マッピングが削除されます。

isi auth mapping delete --all --zone=zone3

ID管理


次のコマンドを実行すると、自動的に作成された zone3 アクセスゾーン内のすべての ID マッピングが削除され、外部認証ソースの UID または GID が含められます。

isi auth mapping delete --all --only-external --zone=zone3

次のコマンドを実行すると、zone3 アクセスゾーン内の UID 4236 のユーザーの ID マッピングが削除されます。

isi auth mapping delete --source-uid=4236 --zone=zone3

ID マッピングの表示特定の ID のマッピング情報を表示できます。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping view コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーン内の UID 4236 のユーザーのマッピングが表示されます。

isi auth mapping view --uid=4236 --zone=zone3


Name： user_36 On-disk: UID： 4236Unix uid: 4236Unix gid: -100000 SMB: S-1-22-1-4236

ID マッピングキャッシュのフラッシュID マップキャッシュをフラッシュして、すべてまたは特定の ID マッピングのインメモリコピーを削除できます。ID マッピングを変更すると、キャッシュが同期しなくなり、ユーザーの認証時に低速化または停止が生じることがあります。キャッシュをフラッシュして、マッピングを同期できます。この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping flush コマンドを実行します。

次のコマンドを実行すると、EMC Isilon クラスター上のすべての ID マッピングがフラッシュされます。

isi auth mapping flush --all

ID管理

ID マッピングの表示 403

次のコマンドを実行すると、zone3 アクセスゾーン内の UID 4236 のユーザーのマッピングがフラッシュされます。

isi auth mapping flush --source-uid-4236 --zone=zone3

ユーザートークンの表示認証時にユーザーに対して生成されたアクセストークンの内容を表示できます。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping token コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーン内の UID 4236 のユーザーのアクセストークンが表示されます。

isi auth mapping token --uid=4236 --zone=zone3


User Name: user_36 UID: 4236 SID: S-1-22-1-4236 On Disk: 4236ZID: 3Zone: zone3Privileges: -Primary Group Name: user_36 GID: 4236 SID: S-1-22-2-4236 On Disk: 4236

ID マッピング設定の構成UID と GID の自動アロケーションを有効化または無効化したり、各アクセスゾーンの ID値の範囲をカスタマイズしたりできます。デフォルトの範囲は 1000000～2000000 です。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth settings mapping modify コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーンの UID と GID の両方の自動アロケーションが有効化され、アロケーション範囲が 25000～50000 に設定されます。

isi auth settings mapping modify --gid-range-enabled=yes \--gid-range-min=25000 --gid-range-max=50000 --uid-range-enabled=yes \--uid-range-min=25000 --uid-range-max=50000 --zone=zone3

ID管理


ID マッピング設定の表示各ゾーンの ID マッピングの現在の設定を表示できます。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth settings mapping view コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーンの現在の設定が表示されます。

isi auth settings mapping view --zone=zone3


GID Range Enabled: Yes GID Range Min: 25000 GID Range Max: 50000UID Range Enabled: Yes UID Range Min: 25000 UID Range Max: 50000

ユーザー IDの管理ユーザー IDは、ユーザーマッピングルールを作成して管理できます。ユーザーマッピングルールを作成する際には、次の情報に留意する必要があります。l ユーザーマッピングルールは、System ゾーンを通じて EMC Isilon に接続している場合にのみ

作成できます。ただし、ユーザーマッピングルールを指定のアクセスゾーンに適用することはできます。指定のアクセスゾーンにユーザーマッピングルールを作成すると、そのルールはそのゾーンのコンテキスト内でのみ適用されます。

l あるノードのユーザーマッピングを変更すると、OneFS によってその変更が他のノードにも適用されます。

l ユーザーマッピングを変更すると、OneFS の認証サービスによってその構成が再ロードされます。

ユーザー ID の表示ユーザーの SID（セキュリティ ID）ヒストリなど、指定ユーザーの Active Directory および LDAP ディレクトリサービス内での IDやグループメンバーシップを表示できます。


OneFS のユーザーアクセストークンには、Active Directory と LDAP の両 ID の組み合わせが含まれています（両ディレクトリサービスが構成されている場合）。次のコマンドを実行して、特定の各ディレクトリサービスの ID を確認できます。

ID管理

ID マッピング設定の表示 405

手順1. クラスタ内の任意のノードへの SSH接続を確立します。2. Active Directory の ID を確認するには、isi auth users view コマンドを実行しま

す。次のコマンドは、Active Directory のドメインが YORK、ユーザー名が stand の ID を表示します。

isi auth users view --user=YORK\\stand --show-groups


Name: YORK\stand DN: CN=stand,CN=Users,DC=york,DC=hull,DC=example,DC=com DNS Domain: york.hull.example.com Domain: YORK Provider: lsa-activedirectory-provider:YORK.HULL.EXAMPLE.COMSam Account Name: stand UID: 4326 SID: S-1-5-21-1195855716-1269722693-1240286574-591111 Primary Group ID : GID:1000000 Name : YORK\york_sh_udg Additional Groups: YORK\sd-york space group YORK\york_sh_udg YORK\sd-york-group YORK\sd-group YORK\domain users

3. LDAP のユーザー ID を確認するには、isi auth users view コマンドを実行します。次のコマンドは、LDAP ユーザー名が stand の ID を表示します。

isi auth user view --user=stand --show-groups


Name: stand DN: uid=stand,ou=People,dc=colorado4,dc=hull,dc=example,dc=comDNS Domain: - Domain: LDAP_USERS Provider: lsa-ldap-provider:Unix LDAPSam Account Name: stand UID: 4326 SID: S-1-22-1-4326 Primary Group ID : GID:7222 Name : stand Additional Groups: stand sd-group sd-group2

ユーザーマッピングルールの作成ユーザーマッピングルールを作成して、クラスター上のユーザー ID を管理できます。

最初のマッピングルールは、 isi zone zones modify System コマンドの--user-mapping-rules オプションを使用して作成できます。しかし、前述のコマンドを使用して 2番

ID管理


目のルールを追加しようとすると、ルールの一覧に新しいルールが追加されず、既存のルールが置き換えられます。ルールの一覧にルールを追加するには、 isi zone zones modifySystem コマンドで--add-user-mapping-rules オプションを使用する必要があります。

アクセスゾーンを指定しない場合、ユーザーマッピングルールは System ゾーンに作成されます。

手順1. Active Directory ユーザーと LDAP のユーザーをマージするルールを作成するには、次のコマンドを実行します。ここで、［<user-a>］と［<user-b>］はマージする ID のプレースホルダーです（例：user_9440、lduser_010）。

isi zone zones modify System --add-user-mapping-rules \ "<DOMAIN> <user-a> &= <user-b>"

ルールを表示するには次のコマンドを実行します。

isi zone zones view System

コマンドが正常に実行されると、出力の User Mapping Rules行にマッピングルールが表示されます。

Name： System Cache Size: 4.77M Map Untrusted: SMB Shares: - Auth Providers: - Local Provider: Yes NetBIOS Name: All SMB Shares: Yes All Auth Providers: Yes User Mapping Rules: <DOMAIN>\<user_a> &= <user_b>Home Directory Umask: 0077 Skeleton Directory: /usr/share/skel Zone ID: 1

2. トークンの変更を確認するには、次の例に似たコマンドを実行します。

isi auth mapping token <DOMAIN>\\<user-a>

コマンドが正常に実行されると、次の例のような出力が表示されます。

User Name : <DOMAIN>\<user-a> UID : 1000201 SID : S-1-5-21-1195855716-1269722693-1240286574-11547 ZID: 1 Zone: System Privileges: -Primary Group Name : <DOMAIN>\domain users GID : 1000000 SID : S-1-5-21-1195855716-1269722693-1240286574-513Supplemental Identities

ID管理

ユーザーマッピングルールの作成 407

Name : Users GID : 1545 SID : S-1-5-32-545

Name : lduser_010 UID : 10010 SID : S-1-22-1-10010

Name : example GID : 10000 SID : S-1-22-2-10000

Name : ldgroup_20user GID : 10026 SID : S-1-22-2-10026

Windows と UNIX のトークンのマージ結合演算子または追加演算子のいずれかを使用して 2 つのユーザー名を単一のトークンにマージします。Windows のユーザー名と UNIX のユーザー名が、各ディレクトリサービスで互いに一致しない場合、2 つのユーザー名をマージして 1 つのトークンにする結合演算子または追加演算子のいずれかを使用するユーザーマッピングルールを作成することができます。たとえば、ユーザーのWindows ユーザー名が win_bob であり、ユーザーの UNIX ユーザー名が UNIX_bob である場合、これらを結合することができます。一方のアカウントをもう一方のアカウントに追加すると、追加演算子により一方の ID の情報がもう一方に追加されます。 OneFSは、オプションで指定されたフィールドを、ソース ID からターゲット IDに追加します。 OneFSは、ID を追加のグループ一覧に追加します。

手順1. クラスター内の任意のノードへの SSH接続を確立します。2. Windows と UNIX のユーザー名を結合する次の例に似たルールを作成します。ここで、［<win-username>］と［<UNIX-username>］はユーザーのWindows と UNIX のアカウントのプレースホルダーです。

MYDOMAIN\<win-username> &= <UNIX-username> []

3. グループオプションを使用して UNIX のアカウントをWindows のアカウントに追加する次の例に似たルールを作成します。

MYDOMAIN\<win-username> ++ <UNIX-username> [groups]

LDAP からのプライマリグループの取得ユーザーマッピングルールを作成して、LDAP のプライマリグループの情報をユーザーのアクセストークンに挿入または追加できます。デフォルトでは、ユーザーマッピングサービスは、AD と LDAP からの情報を結合しますが、AD からの情報を優先します。マッピングルールによって、OneFS による情報の結合方法を制御することができます。たとえば、AD ではなく LDAP からのプライマリグループ情報を取得することができます。

手順1. クラスター内の任意のノードへの SSH接続を確立します。

ID管理


2. LDAP の情報をユーザーのアクセストークンに挿入するには、次の例に似たルールを作成します。

*\* += * [group]

3. LDAP のその他の情報をユーザーのアクセストークンに追加するには、次の例に似たルールを作成します。

*\* ++ * [user,groups]

マッピングルールのオプションマッピングルールには、アクセストークンのフィールドをターゲットとするオプションを含めることができます。フィールドは、選択するユーザーのプライマリ UID、プライマリユーザー SIDなどのドメイン間のアクセストークンの側面を表します。 OneFS Web管理インターフェイスでフィールドの一部を確認できます。 Web管理インターフェイスの［User］は、ユーザー名と同じです。 isi auth mappingtoken コマンドを実行することで、アクセストークン内のフィールドを確認することもできます。ルールを作成するときは、OneFS が 2 つの ID の側面を単一のトークンにどのように結合するかを処理するオプションを追加できます。たとえば、オプションを使用して、補足グループをトークンに追加することを OneFS に強制できます。マッピングルールを使って、以下のトークンフィールドを操作できます。l username

l unix_name

l primary_uid

l primary_user_sid

l primary_gid

l primary_group_sid

l additional_ids（補足グループを含む）オプションは、ルールが識別情報をトークン内にどのように結合させるかを制御します。 break オプションは例外で、このオプションは、OneFS による追加ルールの処理を停止します。1 つのルールに複数のオプションを適用できますが、演算子によって使用できないオプションがあります。次の表は、各オプションを使用可能な演算子とその結果を示したものです。

オプション演算子説明

user insert、append プライマリ UID とプライマリユーザー SID が存在する場合は、それらをトークンにコピーします。

groups insert、append プライマリ GID とプライマリグループSID が存在する場合は、それらをトークンにコピーします。

groups insert、append すべての追加の識別子をトークンにコピーします（この追加の ID に

ID管理

マッピングルールのオプション 409

オプション演算子説明

はプライマリ UID、プライマリ GID、プライマリユーザー SID、プライマリグループ SIDは含まれません）。

default_user remove groups以外のすべての演算子

マッピングサービスでは、ルールに2番目のユーザーが見つからなかった場合にデフォルトユーザーのユーザー名が検索されます。デフォルトユーザー名にはワイルドカードは使用できません。コマンドラインインターフェイスでデフォルトユーザーオプションをルールに設定する場合、アンダースコアを使用して指定する必要があります（ default_user）。

break すべての演算子マッピングサービスによる break オプションの挿入ポイントの後にあるルールの適用を停止します。マッピングサービスによって、break ポイントで最終トークンが生成されます。

マッピングルール演算子演算子は、マッピングルールが何を実行するかを決定します。

ユーザーマッピングルールは、Web管理インターフェイス（演算子はリストに示すようにスペルアウトします）またはコマンドラインインターフェイスを使用して作成できます。マッピングルールを OneFS CLI（コマンドラインインターフェイス）を使用して作成する場合は、演算子を記号で指定する必要があります。演算子は、マッピングサービスがルールを処理する方向に影響します。マッピングルールの作成の詳細については、ホワイトペーパー「Managing identitieswith the Isilon OneFS user mapping service」を参照してください。次の表で、マッピングルールで使用できる演算子について説明します。マッピングルールに設定できる演算子は 1 つだけです。

演算子 Web インターフェイス

CLI 方向説明

append ［Append fieldsfrom a user］

++ 左から右フィールドを追加することでアクセストークンを変更します。マッピングサービスは、オプションリスト（ユーザー、グループ、複数のグループ）に指定されたフィールドを、ルール内の最初の ID に追加します。フィールドは、ルール内の

ID管理



CLI 方向説明

2番目の ID からコピーされます。追加されたすべての識別子は追加グループリストのメンバーになります。オプションがない追加ルールは、検索操作のみ実行します。トークンを変更するには、オプションを含める必要があります。

insert ［Insert fieldsfrom a user］

+= 左から右フィールドを追加することで既存のアクセストークンを変更します。オプションリスト（ユーザー、グループ、複数のグループ）に指定されたフィールドが新しい ID

からコピーされ、トークン内の ID に挿入されます。ルールがプライマリユーザーまたはプライマリグループを挿入すると、それがトークン内の新しいプライマリユーザーまたはプライマリグループになります。前のプライマリユーザーとプライマリグループは、追加の識別子リストに移動します。プライマリユーザーを変更してもトークンのユーザー名は変更されません。ID から追加のグループを挿入するとき、サービスは、新しいグループを既存のグループに追加します。

replace ［Replace oneuser with adifferentuser］

=> 左から右トークンを削除し、第 2 のユーザー名によって識別される新しいトークンに置き換えます。第 2 のユーザー名が空の

ID管理

マッピングルール演算子 411


CLI 方向説明

場合、マッピングサービスはトークン内の最初のユーザー名を削除し、ユーザー名は残らなくなります。トークンにユーザー名が含まれていない場合、OneFSは nosuch user エラーでアクセスを拒否します。

remove groups ［Removesupplementalgroups from auser］

-- 単項補足グループを削除することでトークンを変更します。

join ［Join twouserstogether］

&= 双方向新しい ID をトークンに挿入します。新しい ID が 2番目のユーザーの場合は、既存の ID の後に挿入され、それ以外の場合は既存のID の前に挿入されます。OneFS では、先頭の ID を使用して新しいファイルシステムオブジェクトの所有権を決定するため、既存の ID がすでにリストの先頭にあるときには、挿入ポイントの位置が特に重要になります。

ID管理


第 9 章

ホームディレクトリ


l ホームディレクトリの概要.......................................................................................414l ホームディレクトリの権限.......................................................................................414l SMB ユーザーの認証...........................................................................................414l SMB によるホームディレクトリの作成......................................................................414l SSH および FTP によるホームディレクトリの作成......................................................418l 混在環境でのホームディレクトリの作成...................................................................421l ACL とモードビットの相互作用.............................................................................. 421l 認証プロバイダーでのデフォルトホームディレクトリの設定...........................................422l サポートされる拡張変数.......................................................................................423l ホームディレクトリプロビジョニングでのドメイン変数................................................... 425

ホームディレクトリ 413

ホームディレクトリの概要ローカルユーザーを作成すると、OneFSはそのユーザーのホームディレクトリを自動的に作成します。OneFSは、SMB共有への接続や、FTP または SSH によるログインによってクラスターにアクセスするユーザーのホームディレクトリの動的プロビジョニングにも対応します。ホームディレクトリを作成した方法にかかわらず、SMB、SSH、FTP を組み合わせて、ホームディレクトリへのアクセスを構成できます。

ホームディレクトリの権限ユーザーのホームディレクトリは、Windows ACL または POSIX モードビットで設定でき、これがSynthetic ACL に変換されます。ホームディレクトリを作成する方法によって、ホームディレクトリで設定される初期権限が決まります。ローカルユーザーを作成する場合、ユーザーのホームディレクトリはデフォルトでモードビットで作成されます。外部のソースに対して認証を行うユーザーについては、ログイン時に動的にホームディレクトリを作成するように設定できます。ホームディレクトリが SSH または FTP によるログイン時に作成された場合、モードビットで設定されます。ホームディレクトリが SMB接続時に作成された場合、モードビットまたは ACL のいずれかを受信します。たとえば、LDAP ユーザーが SSH または FTP を使用して初めてログインした場合、ユーザーのホームディレクトリはモードビットで作成されます。同じユーザーが SMB共有を使用して初めて接続した場合は、構成済みの SMB設定によって示される権限でホームディレクトリが作成されます。 --inheritable-path-acl設定が有効な場合はACL が作成され、それ以外の場合はビットモードが使用されます。

SMB ユーザーの認証NT ハッシュを処理できる認証プロバイダーから SMB ユーザーを認証できます。SMBは NTパスワードハッシュを送信して SMB ユーザーの認証を行うため、NT ハッシュを処理可能な認証プロバイダーからのユーザーのみが SMB を介してログインできます。 OneFS がサポートする次の認証プロバイダーが、NT ハッシュを処理できます。l Active Directory

l ローカルl LDAPSAM（Samba拡張機能が有効な LDAP）

SMB によるホームディレクトリの作成SMB共有は、共有パスに拡張変数を含めることで作成できます。拡張変数により、ユーザーは共有に接続してホームディレクトリにアクセスできます。また、SMB接続時に存在しないホームディレクトリの動的なプロビジョニングを有効にできます。

共有権限は、基になるファイルシステム権限がチェックされる前にファイルのアクセス時にチェックされます。これらの権限のいずれも、ファイルまたはディレクトリへのアクセスを阻止できます。



拡張変数を使用したホームディレクトリの作成拡張変数を使用して構成を設定し、SMB共有のホームディレクトリを作成できます。

SMB経由で EMC Isilon クラスターにアクセスする場合、ホームディレクトリは SMB共有経由でアクセスします。拡張変数構文を使用したパスを使用して構成を設定し、ユーザーがホームディレクトリ共有に接続できるようにします。

ホームディレクトリ共有パスは、/ifs/で始まる必要があり、ホームディレクトリ SMB共有が作成されるアクセスゾーンのルートパス内に存在する必要があります。

次のコマンドでは、--allow-variable-expansion オプションが有効化されて、%U をユーザー名に展開する必要があることを示しています（この例では user411）。 --auto-create-directory オプションを有効にすると、ディレクトリが存在しない場合にディレクトリが作成されます。

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full isi smb shares view HOMEDIR


Share Name： HOMEDIR Path: /ifs/home/%U Description: Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...

user411 が net use コマンドで共有に接続した場合、ユーザーのホームディレクトリは/ifs/home/user411 に作成されます。user411 のWindows クライアントで、net usem:コマンドはHOMEDIR共有を通じて/ifs/home/user411 を接続します。

net use m: \\cluster.company.com\HOMEDIR /u:user411

手順1. 次のコマンドを--allow-variable-expansion オプションを有効にしてクラスター上で実行します。 %U拡張変数によりユーザー名に拡張され、--auto-create-directory オプションが有効化されて、ディレクトリが存在しない場合にディレクトリが作成されます。

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone


拡張変数を使用したホームディレクトリの作成 415

\ --permission-type allow --permission full

2. 次のコマンドを実行してホームディレクトリの設定を表示します。

isi smb shares view HOMEDIR


Share Name： HOMEDIR Path: /ifs/home/%U Description: Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...

user411 が net use コマンドで共有に接続した場合、user411 のホームディレクトリは/ifs/home/user411 に作成されます。user411 のWindows クライアントで、netusem:コマンドは HOMEDIR共有を通じて/ifs/home/user411 を接続し、次の例のように接続をマッピングします。

net use m: \\cluster.company.com\HOMEDIR /u:user411

--inheritable-path-acl オプションでのホームディレクトリの作成共有で--inheritable-path-acl オプションを有効にすることで、親ディレクトリに継承可能な ACL がある場合は共有パスで継承するように指定できます。

はじめにほとんどの構成タスクを実行するには、SecurityAdmin役割のメンバーとしてログオンする必要があります。デフォルトで、SMB共有のディレクトリパスは、モードビットに基づいて Synthetic ACL を使用して作成されます。 --inheritable-path-acl オプションを有効にすることによって、共有作成時に、または動的にプロビジョニングされる共有の場合は共有への接続時に、作成されるすべてのディレクトリで継承可能な ACL を使用できます。

手順1. クラスターの共有に最初に接続した際にユーザーのホームディレクトリを動的にプロビジョニングする、クラスターの--inheritable-path-acl オプションを有効にするには、次の例に似たコマンドを実行します。

isi smb shares create HOMEDIR_ACL --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes



\--inheritable-path-acl=yes

isi smb shares permission modify HOMEDIR_ACL \--wellknown Everyone \--permission-type allow --permission full

2. user411 のホームディレクトリをマッピングするには、Windows クライアントで次の例に似たnet use コマンドを実行します。

net use q: \\cluster.company.com\HOMEDIR_ACL /u:user411

3. user411共有の継承された ACL権限を表示するには、クラスター上で次の例に似たコマンドを実行します。

cd /ifs/home/user411 ls -lde.


drwx------ + 2 user411 Isilon Users 0 Oct 19 16:23 ./OWNER: user:user411GROUP: group:Isilon UsersCONTROL:dacl_auto_inherited,dacl_protected0: user:user411 allowdir_gen_all,object_inherit,container_inherit

SMB共有%U変数での特別なホームディレクトリの作成特別な SMB共有名%U により、ユーザーの名前と同じように表示されるホームディレクトリ SMB共有を作成できます。%U SMB共有は通常、%U拡張変数を含む共有パスを使用して設定します。ユーザーがログイン名と一致する共有に接続を試行したものの、共有が存在しない場合、ユーザーは代わりに%U共有に接続し、%U共有の拡張されたパスに送られます。

ユーザーの名前に一致する別の SMB共有が存在する場合、ユーザーは%U共有ではなく明示的な名前の付いた共有に接続します。

手順1. 次のコマンドを実行して、ユーザーが共有に接続する際の認証されるユーザーログイン名と一致する共有を作成します。

isi smb share create %U /ifs/home/%U \--allow-variable-expansion=yes --auto-create-directory=yes \--zone=System

このコマンドを実行すると、ユーザー Zachary には「%U」ではなく「zachary」という名前の共有が表示され、Zachary が共有「zachary」への接続を試行すると、/ifs/home/


SMB共有%U変数での特別なホームディレクトリの作成 417

zachary に送られます。 Windows クライアントで、Zachary が次のコマンドを実行すると、/ifs/home/zachary ディレクトリのコンテンツが表示されます。

net use m: \\cluster.ip\zachary /u:zachary cd m:dir

同様に、ユーザー Claudia がWindows クライアントで次のコマンドを実行すると、/ifs/home/claudia ディレクトリのコンテンツが表示されます。

net use m: \\cluster.ip\claudia /u:claudia cd m: dir

Zachary と Claudiaは互いのホームディレクトリを表示できません。共有「zachary」はZachary にのみ存在し、共有「claudia」は Claudia にのみ存在するからです。

SSHおよび FTP によるホームディレクトリの作成認証プロバイダーの設定を変更することによって、SSH または FTP を使用してクラスターにアクセスするユーザーに対するホームディレクトリのサポートを構成できます。

SSH または FTP ログインシェルの設定--login-shell オプションを使用すると、ユーザーのデフォルトのログインシェルを設定できます。

デフォルトでは、--login-shell オプションを指定すると、すべての認証プロバイダー（ActiveDirectory を除く）によって提供されるログインシェル情報が上書きされます。Active Directory では、--login-shell を指定すると、Active Directory サーバによってログインシェル情報が提供されない場合のデフォルトのログインシェルを表します。

次の例では、ログインシェルを/bin/bash に設定しています。シェルを/bin/rbash に設定することもできます。

手順1. すべてのローカルユーザーのログインシェルを/bin/bash に設定するには、次のコマンドを実行します。

isi auth local modify System --login-shell /bin/bash

2. ドメイン内のすべての Active Directory ユーザーのデフォルトのログインシェルを/bin/bash に設定するには、次のコマンドを実行します。

isi auth ads modify YOUR.DOMAIN.NAME.COM --login-shell /bin/bash



SSH/FTP ホームディレクトリ権限の設定umask値を設定することにより、SSH または FTP を使用してアクセスされるホームディレクトリのホームディレクトリ権限を指定できます。

はじめにほとんどの構成タスクを実行するには、SecurityAdmin役割のメンバーとしてログオンする必要があります。ユーザーのホームディレクトリが SSH または FTP によるログイン時に作成されるときは、POSIX モードビットを使用して作成されます。ユーザーのホームディレクトリの権限は 0755 に設定されていますが、その後権限を制限するためにユーザーのアクセスゾーンの umask設定によってマスキングされます。ゾーンの umask設定は、--home-directory-umask オプションの umask値に 8進値を指定して変更できます。手順

1. umask設定を表示するには、次のコマンドを実行します。



Name: SystemPath: /ifs

Groupnet: groupnet0Map Untrusted: -Auth Providers: lsa-local-provider:System, lsa-

file-provider:SystemNetBIOS Name: -

User Mapping Rules: -Home Directory Umask: 0077

Skeleton Directory: /usr/share/skelCache Entry Expiry: 4H

Negative Cache Entry Expiry: 1mZone ID: 1

コマンドの結果より、作成されたホームディレクトリの Home Directory Umask のデフォルト設定は［0700］であり、(0755 & ~(077)) と同じです。ゾーンの HomeDirectory Umask設定は、--home-directory-umask オプションの umask値に 8進値を指定して変更できます。この値は無効にする権限を示し、マスクにより大きな値を設定すると権限がより小さくなります。たとえば、umask値に［000］または［022］を指定すると作成されたホームディレクトリの権限が［0755］になり、umask値に［077］を指定すると作成されたホームディレクトリの権限が［0700］になります。

2. グループまたはその他によるホームディレクトリでの書き込み権限や実行権限を許可するには、次の例に似たコマンドを実行します。

isi zone zones modify System --home-directory-umask=022

この例でユーザーのホームディレクトリは、マスク解除されたフィールドでマスクされたモードビット［0755］で作成され、値は［022］に設定されます。したがって、ユーザーのホームディレクトリは、モードビット0755（(0755 & ~(022) と同等）で作成されます。


SSH/FTP ホームディレクトリ権限の設定 419

SSH/FTP ホームディレクトリ作成オプションの設定認証プロバイダーのオプションを指定することによって、SSH または FTP を使用してクラスターにアクセスするユーザーに対するホームディレクトリのサポートを構成できます。手順

1. 次のコマンドを実行すると、クラスター上の Active Directory認証プロバイダーの設定が表示されます。

isi auth ads list


Name Authentication Status DC Name Site---------------------------------------------------------YOUR.DOMAIN.NAME.COM Yes online - SEA---------------------------------------------------------Total: 1

2. --create-home-directory オプションと--home-directory-template オプションを指定して、isi auth ads modify コマンドを実行します。

isi auth ads modify YOUR.DOMAIN.NAME.COM \--home-directory-template=/ifs/home/ADS/%D/%U \--create-home-directory=yes

3. --verbose を指定して isi auth ads view コマンドを実行します。次の例のような出力が表示されます。

Name： YOUR.DOMAIN.NAME.COMNetBIOS Domain: YOUR...

Create Home Directory: YesHome Directory Template: /ifs/home/ADS/%D/%U

Login Shell: /bin/sh4. id コマンドを実行します。


uid=1000008(<your-domain>\user_100) gid=1000000(<your-domain>\domain users)groups=1000000(<your-domain>\domain users),1000024(<your-domain>\c1t),1545(Users)

5. (オプション) この情報を外部 UNIX ノードから確認するには、外部 UNIX ノードで ssh コマンドを実行します。たとえば、次のコマンドを実行すると、以前に存在していなかった場合に /ifs/home/ADS/<your-domain>/user_100 が作成されます。

ssh <your-domain>\\[email protected]

ドットファイルを使用したホームディレクトリのプロビジョニングドットファイルを使用してホームディレクトリをプロビジョニングできます。



はじめにほとんどの構成タスクを実行するには、SecurityAdmin役割のメンバーとしてログオンする必要があります。skeleton ディレクトリはデフォルトで/usr/share/skel にあり、ローカルユーザーが作成されるとき、またはログイン時にユーザーのホームディレクトリが動的に作成されるときに、ユーザーのホームディレクトリにコピーされるファイルセットが含まれています。 dot.で始まる、skeleton ディレクトリ内のファイルは、ユーザーのホームディレクトリにコピーされるときに、名前が変更されて dot プレフィックスが削除されます。たとえば、dot.cshrcは、ユーザーのホームディレクトリに.cshrc としてコピーされます。この形式により、skeleton ディレクトリのドットファイルはコマンドラインインターフェイスを使用して表示できます。ls-a コマンドは必要ありません。ドットファイルでプロビジョニングされたホームディレクトリを使用する可能性のある SMB共有の場合、SMB を使用して共有に接続するユーザーが、ドットファイルを表示しないようにするオプションを設定できます。手順

1. System アクセスゾーンにデフォルトの skeleton ディレクトリを表示するには、次のコマンドを実行します。



Name： System... Skeleton Directory: /usr/share/skel

2. デフォルトの skeleton ディレクトリを変更するには、isi zone zones modify コマンドを実行します。次のコマンドを実行すると、アクセスゾーンにあるデフォルトの skeleton ディレクトリ（/usr/share/skel）が変更されます。ここで、Systemは［<zone>］オプションの値、/usr/share/skel2は［<path>］オプションの値です。

isi zone zones modify System --skeleton-directory=/usr/share/skel2

混在環境でのホームディレクトリの作成ユーザーが SMB と SSH の両方を使用してログインする場合、SMB共有と、SSH を使用してユーザーの認証を行う各認証プロバイダーとの間で、パステンプレートが同じになるように、ホームディレクトリを設定することを推奨します。

ACL とモードビットの相互作用ホームディレクトリの設定は、ユーザーの認証方法や、ホームディレクトリの作成を指定するオプションなど、複数の要因によって決まります。ユーザーのホームディレクトリは、ACL または POSIX モードビットで設定でき、これが SyntheticACL に変換されます。ローカルユーザーのディレクトリはローカルユーザーが作成されるときに作成され、デフォルトでは POSIX モードビットによって設定されます。ディレクトリは、外部ソースで認証するユーザーに対して、また場合によってはファイルプロバイダーで認証するユーザーに対して、ログイ


混在環境でのホームディレクトリの作成 421

ン時に動的にプロビジョニングできます。この場合、ホームディレクトリはユーザーの最初のログイン方法に従って作成されます。たとえば、LDAP ユーザーが SSH または FTP を使用して初めてログインし、ユーザーのホームディレクトリが作成される場合、ホームディレクトリは POSIX モードビットで作成されます。同じユーザーが SMB ホームディレクトリ共有を使用して初めて接続する場合は、SMB のオプション設定に従ってホームディレクトリが作成されます。 --inherited-path-acl が有効な場合は、ACL が生成されます。それ以外の場合は、POSIX モードビットが使用されます。

認証プロバイダーでのデフォルトホームディレクトリの設定ホームディレクトリの設定方法に影響するデフォルト設定は、ユーザーが認証を行う認証プロバイダーによって異なります。

認証プロバイダーホームディレクトリホームディレクトリの作成

UNIX ログインシェル

Local l --home-directory-template=/ifs/home/%U

l --create-home-directory=

yesl --login-

shell=/bin/sh

有効 /bin/sh

File l --home-directory-template=""


no

無効なし

Active Directory l --home-directory-template=/ifs/home/%D/%U


nol --login-

shell=/bin/sh

使用可能な場合、プロバイダー情報でこの値を上書きします。

無効 /bin/sh



認証プロバイダーホームディレクトリホームディレクトリの作成

UNIX ログインシェル

LDAP l --home-directory-template=""


no

無効なし

NIS l --home-directory-template=""


no

無効なし

サポートされる拡張変数SMB共有パスまたは認証プロバイダーのホームディレクトリテンプレートに拡張変数を組み込むことができます。OneFS では次の拡張変数がサポートされます。拡張変数を持つ共有を構成すると、パフォーマンスを向上させ、管理する共有数を減少させることができます。たとえば、各ユーザーに共有を作成する代わりに、共有のための%U変数を使用できます。各ユーザーのパスが異なるように名前に%U を使用すると、各ユーザーは自分のホームディレクトリのみを表示してアクセスできるので、セキュリティは確保されます。

Web管理インターフェイスを介して SMB共有を作成する場合、［Allow Variable Expansion］チェックボックスを選択する必要があります。選択しないと、文字列がシステムにより文字どおりに解釈されます。

変数値説明

%U ユーザー名（例：user_001）ユーザー名に展開し、異なるユーザーが異なるホームディレクトリを使用できるようにします。この変数は通常、パスの末尾に組み込まれます。たとえば、ユーザー user1 の場合、パス/ifs/home/%Uは/ifs/home/user1 にマップします。

%D NetBIOS ドメイン名（例：YORK.EAST.EXAMPLE.COM

に対する YORK）

認証プロバイダーに基づいて、ユーザーのドメイン名に展開します。l Active Directory ユーザー

の場合、%Dは Active


サポートされる拡張変数 423

変数値説明

Directory の NetBIOS名に展開します。

l ローカルユーザーの場合、%Dは大文字のクラスター名に展開します。たとえば、cluster1 というクラスターの場合、%Dは CLUSTER1 に展開します。

l System ファイルプロバイダーのユーザーの場合、%DはUNIX_USERS に展開します。

l その他のファイルプロバイダーのユーザーの場合、%DはFILE_USERS に展開します。

l LDAP ユーザーの場合、%D

は LDAP_USERS に展開します。

l NIS ユーザーの場合、%DはNIS_USERS に展開します。

%Z ゾーン名（例：ZoneABC）アクセスゾーン名に展開します。複数のゾーンがアクティブの場合、この変数は別々のゾーンのユーザーの区別に便利です。たとえば、System ゾーンのユーザー user1

の場合、パス/ifs/home/%Z/%Uは/ifs/home/System/user1 にマップします。

%L ホスト名（小文字のクラスターホスト名）

小文字に正規化されたクラスターのホスト名に展開します。使用は制限されます。

%0 ユーザー名の最初の文字ユーザー名の最初の文字に展開します。

%1 ユーザー名の 2番目の文字ユーザー名の 2番目の文字に展開します。




ユーザー名が 3文字より少ない場合、%0、%1、%2 の変数は順に文字の送り込みが行われます。たとえば、ユーザー ab の場合、変数はそれぞれ a、b、a にマップします。ユーザー a の場合は、3 つの変数すべてが a にマップします。

ホームディレクトリプロビジョニングでのドメイン変数ホームディレクトリをプロビジョニングするとき、ドメイン変数を使用して認証プロバイダーを指定できます。ドメイン変数（%D）は、通常は Active Directory ユーザーに使用されますが、他の認証プロバイダーに使用できる値セットも備えています。 %Dはさまざまな認証プロバイダーに対して次の表に示すように展開されます。

認証されるユーザー %D の展開

Active Directory ユーザー

Active Directory NetBIOS名（例：プロバイダーYORK.EAST.EXAMPLE.COM に対する YORK）。

ローカルユーザーすべて大文字のクラスター名（例：クラスター名がMyCluster の場合、%D によってMYCLUSTER に展開）。

ファイルユーザー l UNIX_USERS（システムファイルプロバイダーの場合）l FILE_USERS（他のすべてのファイルプロバイダーの場合）

LDAP ユーザー LDAP_USERS（すべての LDAP認証プロバイダーの場合）

NIS ユーザー NIS_USERS（すべての NIS認証プロバイダーの場合）


ホームディレクトリプロビジョニングでのドメイン変数 425

第 10 章

データアクセス制御


l データアクセス制御の概要................................................................................... 428l ACL..................................................................................................................428l UNIX権限........................................................................................................ 429l 権限が混在する環境.......................................................................................... 429l アクセス権限の管理............................................................................................ 430

データアクセス制御 427

データアクセス制御の概要OneFS では、誰がアクセス権を持つかを制御する 2 つのタイプの権限データがファイルとディレクトリに対してサポートされます。 Windows の ACL（アクセスコントロールリスト）と POSIX モードビット（UNIX の権限）があります。ユーザーの環境を最適にサポートするために、デフォルトの ACL とUNIX の権限をカスタマイズできるようにするためのグローバルポリシー設定を構成できます。OneFS ファイルシステムは、UNIX権限をデフォルトとしてインストールされます。 Windows エクスプローラーまたは OneFS の管理ツールを使用することで、ファイルまたはディレクトリに ACL を適用できます。一般に、SMB経由で作成されるファイルや ACL があるディレクトリに作成されるファイルには、ACL が適用されます。ファイルが ACL を受け取ると、OneFSはファイルのモードビットの適用を停止します。モードビットは、アクセス制御ではなくプロトコルの互換性のみを目的として提供されます。OneFSは、統合セキュリティモデルにより、NFS（ネットワークファイルシステム）と SMB（サーバーメッセージブロック）においてマルチプロトコルデータアクセスをサポートします。ユーザーには、Windows ファイル共有のための SMB を使用している場合でも、UNIX ファイル共有のための NFSを使用している場合でも、ファイルに対して同じアクセス権が許可または拒否されます。NFS により、Linux および UNIX クライアントは、Windows または SMB ユーザーが作成したサブディレクトリを含め、任意のサブディレクトリをリモートでマウントできます。 Linux および UNIX クライアントは、OneFS管理者が作成した ACL保護されたサブディレクトリをマウントすることもできます。 SMBは、UNIX および Linux システムによって格納されたファイル、ディレクトリ、他のファイルシステムリソースへのアクセス権をWindows ユーザーに提供します。 Windows ユーザーに加えて、ACLはローカル、NIS、LDAP ユーザーに影響することがあります。デフォルトでは、OneFSはクライアントのオペレーティングシステムやユーザーの ID管理システム、ファイル共有プロトコルにかかわらず、同じファイル権限を保持します。ファイルの権限を ACL からモードビットに変換する必要がある場合、またはモードビットから ACL に変換する必要がある場合、OneFSは両者の権限を最適な表現にマージし、ユーザーの期待とファイルのセキュリティについて独自のバランスが取れるようにします。

ACLWindows環境では、ファイルとディレクトリの権限（アクセス権と呼びます）は ACL（アクセスコントロールリスト）で定義されます。 ACLはモードビットよりも複雑ですが、ACLはより詳細なアクセスルールのセットを表現できます。 OneFSは、Windows ACL に一般的に関連づけられているACL処理ルールをチェックします。Windows ACL には、ゼロ個以上の ACE（アクセスコントロールエントリー）が含まれています。それぞれの ACEは、被信頼者としてのユーザーまたはグループの SID（セキュリティ識別子）を表します。 OneFS では、UID、GID、SID を被信頼者とする ACE を ACL に含めることができます。各ACE には、ファイルまたはフォルダーへのアクセスを許可または拒否する権限が格納されています。ACE には、子フォルダーとファイルが ACE を継承するかどうかを指定する継承フラグをオプションで含めることができます。

モードビットで使用できる標準的な 3種類の権限の代わりに、ACL には 32 ビットの詳細なアクセス権があります。そのうちの上位 16 ビットが一般的なものであり、すべてのオブジェクトタイプに適用されます。下位の 16 ビットはファイルとディレクトリによって異なりますが、ほとんどのアプリケーションがファイルとディレクトリに同じビットを適用する方法で定義されています。



指定の被信頼者に権限を付与するかアクセスを拒否します。拒否 ACE を使用してユーザーのアクセスを明示的にブロックするか、ある権限を許可する ACE の中にユーザーが直接（またはグループを通じて間接的に）現れないようにすることで、アクセスを暗黙的にブロックすることもできます。

UNIX権限UNIX環境では、ファイルとディレクトリのアクセスは POSIX モードビットで制御されます。これは、読み取り、書き込み、実行権限を所有者ユーザー、所有者グループ、その他全員に許可するものです。OneFS では、UNIX の標準的なツールである ls、chmod、chown による権限の表示と変更をサポートしています。詳細については、man ls、man chmod、man chown の各コマンドを実行してください。すべてのファイルに 16個の権限ビットが含まれており、ファイルまたはディレクトリのタイプと権限に関する情報を提供します。下位 9 ビットは、トリプルと呼ばれる 3個の 3 ビットセットとしてグループ化されており、各ユーザークラス（所有者、グループ、その他）に対する読み取り、書き込み、実行（rwx）権限が格納されています。権限フラグを設定して、これらの各クラスに対する権限を許可できます。ユーザーが root でない限り、OneFSはクラスを使用してファイルに対するアクセスを許可するか拒否するかを決定します。クラスは重複しないため、一致した最初のクラスが適用されます。そのため、権限が少なくなる順序で権限を許可するのが一般的です。

権限が混在する環境ファイル操作でオブジェクトの許可データが必要な場合（例：NFS経由での ls-l コマンドや、SMB経由のWindows エクスプローラーでの［Properties］ダイアログボックスの［Security］タブ）、OneFSはそのデータを要求された形式で提供しようとします。UNIX システムとWindowsシステムが混在する環境では、ファイル作成、セキュリティ設定、セキュリティ取得、アクセス操作を実行するときに、何らかの変換が必要な場合があります。

Windows で作成されたファイルの NFS アクセスファイルに、所有ユーザーまたはグループ（SID）が含まれている場合、システムは、呼び出し側に返す前に、対応する UID または GID にマッピングしようとします。UNIX では、ファイルに対して stat(2)を呼び出し、所有者、グループ、モードビットを調べることで許可データが取得されます。 NFSv3 での GETATTR コマンドも同様に機能します。システムは、ファイルの ACL が変化するときに、ファイルに対してモードビットを近似して設定します。モードビットの近似が必要なのは、これらの呼び出しを処理するためだけです。

SID から UID へと、SID から GID へのマッピングは、OneFS ID マッパーと stat キャッシュの両方にキャッシュされます。マッピングが最近変更された場合、ファイルが更新されるかキャッシュがフラッシュされるまで、不正確な情報が報告される可能性があります。

UNIX で作成されたファイルへの SMB アクセスファイルの ACL を作成するときには、UID から SID または GID から SID へのマッピングは行われません。すべての UID と GIDは、ACL が返されるときに SID またはプリンシパルに変換されます。


UNIX権限 429

OneFSは 2段階のプロセスを使用して、所有者の SID とオブジェクトのプライマリグループが含まれているセキュリティディスクリプタを返します。

1. 現在のセキュリティディスクリプタは、ファイルから取得されます。ファイルに DACL（任意のアクセスコントロールリスト）がない場合、ファイルの下位 9個のモードビットから Synthetic ACL が作成されます。これは、3組（所有者、グループ、全員）の権限トリプルに分割されます。モードビットの詳細については、UNIX権限のトピックを参照してください。

2. 各トリプルについて 2個の ACE（アクセスコントロールエントリー）が作成されます。許可 ACEには、権限に従って許可される対応する権利が含まれており、拒否 ACE には、拒否される対応する権利が含まれています。どちらの場合にも、ACE の被信頼者は、ファイル所有者、グループ、全員に対応します。すべての ACE が生成された後、不要な ACEは Synthetic ACLが返される前に削除されます。

アクセス権限の管理ID および権限の内部表現には、UNIX ソース、Windows ソース、または両方からの情報を含めることができます。アクセスプロトコルはこれらのソースのうちいずれか 1個しか情報を処理できないため、システムではプロトコルが処理可能な形式で情報を示すように近似化が必要になる場合があります。

予期されるユーザー権限の表示ファイルやディレクトリへのユーザーアクセスの予期される権限を表示できます。


手順1. クラスター内の任意のノードへの SSH接続を確立します。2. 予期されるユーザー権限を表示するには、isi auth access コマンドを実行します。

次のコマンドは、［<username>］の代わりに指定したユーザーの権限を/ifs/に表示します。

isi auth access <username> /ifs/


User Name : <username> UID : 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<username> \ allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

3. ユーザーのモードビットの権限を表示するには、isi auth access コマンドを実行します。



次のコマンドは、［<username>］の代わりに指定した冗長モードのファイル権限情報を/ifs/に表示します。

isi auth access <username> /ifs/ -v


User Name : <username> UID \: 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<username>allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

4. ユーザーのファイルに対する予期される ACL ユーザー権限を表示するには、isi authaccess コマンドを実行します。次のコマンドは、［<username>］の代わりに指定したユーザーのファイルfile_with_acl.tx に対する冗長モードの ACL ファイル権限を/ifs/data/に表示します。

isi auth access <username> /ifs/data/file_with_acl.tx -v


User Name : <username> \UID : 2097 SID : SID:S-1-7-21-2141457107-1614332578-1691322789-1018 File Owner : user:<username> Group : group:wheel Permissions Expected : user:<username> allow file_gen_read,file_gen_write,std_write_dac Relevant Acl: group:<group-name> Users allow file_gen_read user:<username> allow std_write_dac,file_write,append,file_write_ext_attr,file_write_attr group:wheel allow file_gen_read,file_gen_write

アクセス管理設定の構成デフォルトのアクセス設定には、SMB接続の NTLMv2応答を送信するかどうか、ディスク上に格納する ID タイプ、ローカルモードでの実行時に使用するWindows ワークグループ名、ユーザー名やグループ名内に出現するスペース用の文字代替があります。手順

1. isi auth settings global modify コマンドを実行してアクセス管理設定を構成します。次のコマンドは、ワークグループのグローバル設定を変更します。

isi auth settings global modify \ --send-ntlmv2=false --on-disk-identity=native \ --space-replacement="_" --workgroup=WORKGROUP


アクセス管理設定の構成 431

ACL ポリシー設定の変更ACL ポリシー設定を変更することができますが、デフォルトの ACL ポリシー設定は、ほとんどのクラスター環境用として十分な内容です。

ACLポリシーによって、システム全体で権限の動作が変わるため、これらのポリシーは必要な場合のみ、Windows ACLの高度な知識を持った、経験の豊富な管理者が変更する必要があります。これは、クラスターの環境に関係なく適用される高度な設定の場合は特にそうです。

UNIX、Windows、バランス環境では、最適な権限ポリシー設定が選択され、それを変更することはできません。ただし、特定の環境をサポートするために必要な場合は、クラスターのデフォルトの権限設定を手動で構成することを選択できます。手順

1. ACL ポリシー設定を変更するには、次のコマンドを実行します。

isi auth settings acls modify

PermissionsRepair ジョブの実行Repair Permissions ジョブを実行して、ファイルおよびディレクトリの権限または所有権を更新できます。オンディスク ID を変更した後に発生する可能性のある権限の問題を回避するには、このジョブを権限の変換ジョブとともに実行して、クラスター全体に変更が完全に伝播するようにします。オンディスク ID の変更後に発生する可能性がある権限に関する問題を回避するために、変更がクラスター全体に反映されるように、［convert］モードを指定してこの認証とアクセス制御のジョブを実行します。手順

1. 次のシンタクス付きで isi job jobs start コマンドシンタクスを実行してクラスター権限を更新します。クラスターの権限を更新するには、次のコマンドを実行します。ここで、［permissionrepair］はジョブタイプを指定し、山括弧内の変数はご使用の環境に固有の値のプレースホルダーです。

isi job start permissionrepair --priority <1-10> \ --policy <policy> --mode <clone | inherit | convert > \ --mapping-type=<system | sid | unix | native> --zone <zone-name>

--templateパラメーターは［convert］モードオプションとともに使用できませんが、［clone］モードオプションと［inherit］モードオプションを使用してパラメーターを結合できます。反対に、--mapping-typeパラメーターと--zoneパラメーターは［clone］モードオプションまたは［inherit］モードオプションとともに使用できませんが、［convert］モードオプションを使用してパラメーターを組み合わせることができます。



例 1 例

クラスターの権限を更新するには、次のコマンドを実行します。ここで、［permissionrepair］はジョブタイプを指定し、プライオリティは［3］、選択したモードは［convert］、マッピングタイプは［unix］です。

isi job jobs start permissionrepair --priority=3 \ --policy myPolicy --mode=convert --mapping-type=unix \ --template <isi path> --path </ifs directory> --zone zone2


PermissionsRepair ジョブの実行 433

第 11 章

ファイル共有


l ファイル共有の概要............................................................................................. 436l SMB.................................................................................................................438l NFS..................................................................................................................487l FTP.................................................................................................................. 544l HTTP および HTTPS......................................................................................... 553

ファイル共有 435

ファイル共有の概要OneFS のマルチプロトコルサポートにより、Isilon クラスター上のファイルおよびディレクトリに、Windows ファイル共有用の SMB、UNIX ファイル共有用の NFS、SSH（セキュアシェル）、FTP、HTTP を介してアクセスできます。デフォルトでは SMB プロトコルと NFS プロトコルのみが有効化されています。クラスター上のすべてのファイルシステムデータのルートディレクトリである/ifs ディレクトリがOneFS によって作成されます。/ifs ディレクトリは、デフォルトで SMB共有および NFS エクスポートとして構成されます。/ifs ディレクトリツリー内に別の共有やエクスポートを作成できます。

データはルート/ifs ファイルパスに保存せず、/ifs下のディレクトリに保存することをお勧めします。データストレージ構造の設計は慎重に計画する必要があります。よく設計されたディレクトリ構造では、クラスターパフォーマンスと管理が最適化されます。

OneFS のファイルおよびディレクトリにWindows ベースおよび UNIX ベースのアクセス許可を設定できます。必要な権限を持つユーザーおよび管理者権限を持つユーザーは、サポートされている 1つ以上のファイル共有プロトコルを介してクラスター上のデータの作成、変更、読み取りを行うことができます。l SMB。Microsoft Windows およびMac OS X クライアントが、クラスター上に保存されている

ファイルにアクセスできるようにします。l NFS。RFC1813（NFSv3）および RFC3530（NFSv4）仕様概要に準拠する Linux およ

び UNIX クライアントが、クラスターに格納されているファイルにアクセスできるようにします。l HTTP および HTTPS（オプションの DAV対応）。Web ブラウザーを介してクライアントがクラス

ター上に保存されているファイルにアクセスできるようにします。l FTP。FTP クライアントプログラムを備えた任意のクライアントが、FTP プロトコルを介してクラス

ター上に保存されているファイルにアクセスできるようにします。

プロトコル混在環境/ifs ディレクトリは、クラスタ内のすべてのファイルシステムデータのルートディレクトリであり、SMB共有、NFS エクスポート、ドキュメントのルートディレクトリとして機能します。/ifs ディレクトリツリー内に別の共有やエクスポートを作成できます。SMB または NFS を排他的に使用するか、その両方を使用するように OneFS クラスタを構成できます。また、HTTP、FTP、SSH も有効化できます。アクセス権は、すべてのセキュリティモデルでアクセスプロトコル全体に一貫して適用されます。SMBを使用しているか NFS を使用しているかにかかわらず、ファイルに対する同じ権限がユーザーに付与または拒否されます。OneFS を実行するクラスタは、一連のグローバルポリシー設定をサポートしています。これを使用してデフォルトの ACL（アクセス制御リスト）および UNIX権限の設定をカスタマイズできます。OneFS のファイルツリーは、標準的な UNIX権限で構成されています。Windows エクスプローラーまたは OneFS の管理ツールを使用して、任意のファイルやディレクトリに ACL を適用できます。OneFS の ACL には、Windows ドメインのユーザーやグループに加えて、ローカル、NIS、LDAP のユーザーやグループを含めることができます。ファイルに ACL を適用すると、モードビットは効力を失い、有効なアクセス許可の目安としてのみ存在するようになります。

ファイル共有


ACL と UNIX権限の相互作用について十分理解している場合にのみそれらを構成することをお勧めします。

SmartCache を使用したライトキャッシュライトキャッシュはクラスターへのデータの書き込み処理を高速化します。OneFS には、SmartChache と呼ばれるライトキャッシュ機能が含まれており、デフォルトですべてのファイルとディレクトリに対して有効になっています。ライトキャッシュが有効な場合、OneFSはデータをすぐディスクに書き込まずにライトバックキャッシュに書き込みます。OneFSはより都合のよいときにデータをディスクに書き込むことができます。

ライトキャッシュは有効なままにすることをお勧めします。すべてのファイルプールポリシーに対してもライトキャッシュを有効化する必要があります。

クライアントの仕様に応じて、OneFSはクラスターへの書き込みを同期または非同期のいずれかに解釈します。ライトキャッシュの影響とリスクは、クライアントがクラスターへの書き込みに使用するプロトコルや、書き込みが同期として解釈されるか非同期として解釈されるかに依存します。ライトキャッシュを無効化した場合は、クライアントの仕様は無視され、すべての書き込みが同期的に実行されます。プロトコルに応じてクライアントの仕様が解釈される方法について次の表で説明します。

プロトコル同期非同期

NFS stable フィールドが［data_sync］または［file_sync］に設定されている。

stable フィールドが［unstable］に設定されている。

SMB write-through フラグが適用されている。

write-through フラグが設定されていない。

非同期書き込み用のライトキャッシュライトキャッシュによるクラスターへの非同期書き込みは、クラスターへ最も速くデータを書き込む方法です。非同期書き込みのライトキャッシュは、同期書き込みのライトキャッシュよりも少ないクラスターリソースしか必要とせず、ほとんどのワークフローでクラスターのパフォーマンス全体を向上します。ただし、非同期書き込みにはデータ消失のリスクがあります。非同期書き込みのライトキャッシュを有効にした場合のプロトコルごとのデータ消失リスクについて次の表で説明します。

プロトコルリスク

NFS ノードに障害が発生した場合に、そのノードのクライアントもクラスターにリコネクトする前にクラッシュするという可能性の低い事例を除いて、データが失われることはありません。その状況が起きた場合は、ディスクにコミットされていない非同期書き込みは失われます。

ファイル共有

SmartCache を使用したライトキャッシュ 437

プロトコルリスク

SMB ノードに障害が発生した場合、ディスクにコミットされていない非同期書き込みは失われます。

書き込みに使用するプロトコルにかかわらず、ライトキャッシュは無効化しないことをお勧めします。非同期書き込みによるクラスターへの書き込みを行っていて、データ消失のリスクが大きすぎると判断した場合は、ライトキャッシュを無効化するのではなく、同期書き込みを使用するようにクライアントを構成することをお勧めします。

同期書き込み用のライトキャッシュ同期書き込みのライトキャッシュは、ごくわずかのストレージ領域を含むクラスターのリソースを消費します。この方法は非同期書き込みのライトキャッシュほど速くはありませんが、クラスターのリソースが極端に少ない場合を除いて、同期書き込みのライトキャッシュはライトキャッシュのないクラスターへの書き込みよりも高速です。ライトキャッシュは同期書き込みの整合性に影響しません。クラスターまたはノードに障害が発生しても、同期書き込み用のライトバックキャッシュ内のデータは失われません。

SMBOneFS には構成可能な SMB サービスが含まれており、SMB共有の作成および管理ができます。SMB共有は、クラスタ上のファイルシステムリソースへのWindows クライアントのネットワークアクセスを提供します。読み取りや書き込みなどの操作を実行するための権限をユーザーやグループに対して許可できます。また、SMB共有上でアクセス許可を設定できます。/ifs ディレクトリは、デフォルトで SMB共有として構成されており、有効化されています。OneFSはユーザーセキュリティモードと匿名セキュリティモードの両方をサポートします。ユーザーセキュリティモードが有効な場合、SMB クライアントから共有に接続するユーザーは、有効なユーザー名と正しい認証情報を提供する必要があります。SMB共有はチェックポイントとして機能し、ユーザーには共有上のファイルシステム内のオブジェクトにアクセスするための共有へのアクセス権が必要です。ユーザーにファイルシステムへのアクセス権が付与されても、それが存在する共有へのアクセス権が付与されていない場合、ユーザーは権限に関係なくファイルシステムにアクセスできません。たとえば、ABCDocs という名前の共有が、file1.txt という名前のファイルを /ifs/data/ABCDocs/file1.txt のようなパスに含んでいるとを想定します。file1.txt にアクセスしようとしているユーザーが ABCDocs上に共有権限を持たない場合、ユーザーはファイルに対する読み取り権限や書き込み権限を元々付与されている場合でも、ファイルにアクセスできません。SMB プロトコルでは、許可データには SID（セキュリティ識別子）が使用されます。すべての IDは、取得中に SID に変換され、クラスタに保存される前にディスク上の表現に戻されます。ファイルまたはディレクトリが作成される際に、OneFSは親ディレクトリの ACL（アクセス制御リスト）を確認します。ACL に継承可能な ACE（アクセスコントロールエントリー）が含まれている場合は、その ACE から新しい ACL が作成されます。その他の場合は、ファイルおよびディレクトリの作成マスクおよび作成モード設定を結合して ACL が作成されます。OneFSは次の SMB クライアントをサポートしています。

SMBバージョンサポートされるオペレーティングシステム

3.0以上（マルチチャネルのみ） Windows 8以降Windows Server 2012以降

2.1 Windows 7以降

ファイル共有


SMBバージョンサポートされるオペレーティングシステム

Windows Server 2008 R2以降

2.0 Windows Vista以降Windows Server 2008以降

Mac OS X 10.9以降

1.0 Windows 2000以降Windows XP以降

Mac OS X 10.5以降

アクセスゾーンの SMB共有アクセスゾーンから SMB共有を作成し、管理できます。EMC Isilon クラスター上のストレージを複数の仮想コンテナーに区分化するアクセスゾーンを作成できます。アクセスゾーンは、クラスター上の認証および ID管理サービスのすべての構成設定をサポートするため、ゾーンごとに認証プロバイダーを構成し、SMB共有をプロビジョニングできます。アクセスゾーンを作成すると、ローカルプロバイダーが自動的に作成されるため、ローカルユーザーとグループのリストを使用して各アクセスゾーンを構成できます。各アクセスゾーンで異なる ActiveDirectory プロバイダーを通じて認証し、プール内の特定の IP アドレスからアクセスゾーンに受信接続を転送することでデータアクセスを制御できます。アクセスゾーンと IP アドレスプールを関連づけると、関連づけられたアクセスゾーンへの認証が制限され、使用可能でアクセス可能な SMB共有の数が減少します。次に、アクセスゾーンで SMB管理を簡略化する方法をいくつか示します。l Windows ファイルサーバーや NetApp ファイラーなどの複数の SMB サーバーを単一の Isilon

クラスターに移行してから、各 SMB サーバーの個別のアクセスゾーンを構成する。l 他のアクセスゾーン内の共有名と競合しない一意の SMB共有名セットで各アクセスゾーンを

構成し、各アクセスゾーンを異なる Active Directory ドメインに参加させる。l IP アドレスプールをアクセスゾーンに関連づけて認証をゾーンに制限することにより、管理対象

の使用可能およびアクセス可能な共有の数を減らす。l アクセスゾーン内のすべての共有に適用されるデフォルトの SMB共有設定を構成する。Isilon クラスターには、クラスターおよび他のアクセスゾーンのすべての側面を管理する System という名前の組み込み型アクセスゾーンが含まれます。SMB共有を管理する際にアクセスゾーンを指定しない場合、OneFSはデフォルトで System ゾーンになります。

SMB マルチチャネルSMB マルチチャネルは、複数のネットワーク接続上での単一の SMB セッションの確立をサポートします。SMB マルチチャネルは、次の機能を提供する SMB 3.0 プロトコルの機能です。スループットの向上

OneFSは、複数の接続を通じて高速ネットワークアダプターまたは複数のネットワークアダプター上でクライアントにより多くのデータを転送できます。

接続障害への耐性SMB マルチチャネルセッションが複数のネットワーク接続上で確立されると、接続の 1 つにネットワーク障害がある場合もセッションが失われないため、クライアントは作業を続行できます。

ファイル共有

アクセスゾーンの SMB共有 439

自動検出SMB マルチチャネルは、使用可能なネットワークパスが複数あるクライアント上でサポートされるハードウェア構成を自動的に検出し、複数のネットワーク接続上でセッションをネゴシエートおよび確立します。コンポーネント、役割、役割サービス、機能をインストールする必要はありません。

SMB マルチチャネルの要件EMC Isilon クラスターで SMB マルチチャネルをサポートするには、ソフトウェアおよび NIC構成の要件を満たす必要があります。OneFS では、次のソフトウェア要件が満たされている場合にのみ SMB マルチチャネルをサポートできます。l Windows Server 2012、2012 R2、Windows 8、8.1 クライアントのいずれかl SMB マルチチャネルが EMC Isilon クラスターとWindows クライアントコンピューターの両方で

有効化されている必要がある。Isilon クラスターではデフォルトで有効化されます。SMB マルチチャネルは、サポートされている NIC（ネットワークインターフェイスカード）構成でのみ、複数のネットワーク接続上で単一の SMB セッションを確立します。SMB マルチチャネルには、クライアントコンピューターに次の 1 つ以上の NIC構成が必要です。l 2枚以上のネットワークインターフェイスカード。l RSS（Receive Side Scaling）をサポートする 1枚以上のネットワークインターフェイスカード。l リンク統合で構成された 1枚以上のネットワークインターフェイスカード。リンク統合により、ノー

ド上の複数の NIC の帯域幅を単一の論理インターフェイスに結合できます。

SMB マルチチャネルでサポートされるクライアント側 NIC構成SMB マルチチャネルは、使用可能なネットワークパスが複数あるクライアント上でサポートされるハードウェア構成を自動的に検出します。EMC Isilon クラスター上の各ノードには、少なくとも 1枚の RSS対応 NIC（ネットワークインターフェイスカード）があります。クライアント側 NIC構成により、SMB マルチチャネルが SMB セッションごとの同時ネットワーク接続を確立する方法が決定されます。

クライアント側 NIC構成

説明

シングル RSS対応NIC

SMB マルチチャネルは、NIC上で Isilon クラスターへの最大 4 つのネットワーク接続を確立する。接続は、複数の CPU コアに分散される可能性が高いため、パフォーマンスボトルネックの問題が発生する可能性が低減し、NIC の最大速度機能が達成されます。

複数の NIC NIC が RSS対応の場合、SMB マルチチャネルは、各 NIC上で Isilon クラスターへの最大 4 つのネットワーク接続を確立する。クライアント上の NIC が RSS対応でない場合、SMB マルチチャネルは、各 NIC上で Isilon クラスターへの単一のネットワーク接続を確立します。どちらの構成でも、SMB マルチチャネルは複数のNIC の合計帯域幅を活用し、接続または NIC に障害が発生した場合に接続のフォールトトレランスを提供できます。

ファイル共有


クライアント側 NIC構成

説明

SMB マルチチャネルはセッションあたり 8 つを超える同時ネットワーク接続を確立できません。複数 NIC構成では、これにより NIC ごとに許可される接続数が制限されることがあります。たとえば、構成に 3枚の RSS対応 NIC が含まれる場合、SMB マルチチャネルは最初の NIC上で 3 つの接続を確立し、2枚目の NIC上で 3 つの接続を確立し、3枚目の NIC上で 2 つの接続を確立できます。

統合 NIC SMB マルチチャネルは、統合 NIC上で Isilon クラスターへの複数のネットワーク接続を確立するため、CPU コア間の接続のバランスがとられ、合計帯域幅が効果的に消費され、接続のフォールトトレランスが実現される。

統合 NIC構成は、性質上、SMB に依存しない NIC フォールトトレランスを提供します。

MMC を通じた SMB共有管理OneFS では、MMC（Microsoft管理コンソール）の共有フォルダースナップインがサポートされます。これにより、EMC Isilon クラスター上の SMB共有を、MMC ツールを使用して管理できます。通常は、Web管理インターフェイスまたはコマンドラインインターフェイスを通じてグローバルなSystem ゾーンに接続して、共有を管理および構成します。アクセスゾーンを構成する場合は、MMC共有フォルダースナップインを通じてゾーンに接続して、そのゾーン内のすべての共有を直接管理できます。MMC共有フォルダースナップインを通じて Isilon ノードへの接続を確立し、次の SMB共有管理タスクを実行できます。l 共有フォルダーの作成と削除l SMB共有に対するアクセスパーミッションの構成l アクティブな SMB セッションの一覧の表示l 開いている SMB セッションを閉じるl 開いているファイルの一覧の表示l 開いているファイルを閉じるMMC共有フォルダースナップインを通じてゾーンに接続する場合、そのゾーンに割り当てられているすべての SMB共有を表示および管理できます。ただし、そのゾーンに接続している特定のノード上のアクティブな SMB セッションおよび開いているファイルのみ表示できます。MMC共有フォルダースナップインを通じて共有に対して行う変更は、クラスターに伝播されます。

MMC接続要件アクセス要件を満たす場合は、MMC共有フォルダースナップインを通じて EMC Isilon クラスターに接続できます。MMC共有フォルダースナップインを通じて接続を確立するには、次の条件が必要です。

ファイル共有

MMC を通じた SMB共有管理 441

l クラスターに構成されている AD（Active Directory）プロバイダーのドメインに参加しているWindows ワークステーションからMMC（Microsoft管理コンソール）を実行する必要がある。

l ローカル［<cluster>］\Administrators グループのメンバーである必要がある。

RBAC（役割に基づいたアクセス制御）権限はMMC に適用されません。SMB権限を持つ役割は、アクセスするために十分ではありません。

l ローカル［<cluster>］\Administrators グループのメンバーである Active Directory ユーザーとしてWindows ワークステーションにログインする必要がある。

SMB サーバー側のコピーシステムのパフォーマンスを向上させるために、SMB 2以降のクライアントでは OneFS のサーバー側コピー機能を利用できます。ファイルデータがネットワーク上を移動する必要がなくなるため、サーバー側のコピーのサポートを利用しているWindows クライアントでは、ファイルのコピー操作のパフォーマンスが向上する可能性があります。サーバー側のコピー機能ではサーバー上でのみファイルの読み取りと書き込みを行うことで、ネットワークのラウンドトリップとファイルデータの重複を回避します。この機能は、ソースとデスティネーションのファイルハンドルが同じ共有で開かれているときのファイルのコピーまたは部分コピー操作にのみ影響し、クロス共有操作に対しては動作しません。この機能は OneFS のクラスター間でデフォルトで有効になっており、すべてのゾーン間ではシステム全体でのみ無効化できます。さらに、OneFS内のサーバー側のコピーは、SMB の継続的な可用性機能と互換性がありません。共有で継続的な可用性が有効になっていて、クライアントが永続ファイルハンドルを開いている場合は、サーバー側のコピーが自動的にそのファイルに対して無効化されます。

OneFS での SMB サーバー側コピーの無効化または有効化は、CLI（コマンドラインインターフェイス）を使用した場合にのみ可能です。

SMB サーバー側コピーの有効化または無効化SMB サーバー側コピー機能を有効化または無効化することができます。

SMB サーバー側コピー機能は OneFS でデフォルトで有効になっています。

手順1. EMC Isilon クラスターへの SSH（セキュアシェル）接続を開きます。2. isi smb settings global modify コマンドを実行します。3. 必要に応じて--server-side-copy オプションを変更します。

この機能はデフォルトで有効です。

たとえば、次のコマンドで SMB サーバー側コピーが無効になります。

isi smb settings global modify --server-side-copy=no

ファイル共有


SMB の継続的な可用性SMB 3.0 の環境で OneFS が実行されている場合は、特定のWindows クライアントで継続的な可用性が有効になっているサーバー上のファイルを開くことができます。サーバーがWindows 8 またはWindows Server 2012 を使用している場合、クライアントは、ネットワーク関連の切断またはサーバーの障害などのシステム停止後に再利用できる永続ファイルハンドルを作成できます。切断またはサーバーの障害発生後に永続ハンドルが保持される期間を指定できるとともに、別のハンドルに属しているファイルを開こうとするユーザーに厳格なロックアウトを強制できます。さらに、OneFS の CLI（コマンドラインインターフェイス）を使用して、共有への書き込みの安定性を制御する書き込み整合性の設定を構成できます。共有で継続的な可用性が有効になっていて、クライアントが永続ファイルハンドルを開いている場合は、サーバー側のコピーが自動的にそのファイルに対して無効化されます。

共有を作成するときにのみ継続的な可用性を有効化できますが、共有を作成または変更するときにタイムアウトの更新、ロックアウト、書き込み整合性の設定を実行できます。

SMB の継続的な可用性の有効化共有を作成する場合は、SMB 3.0 の継続的な可用性を有効にして設定を構成できます。

また、共有を変更する場合に、継続的な可用性のタイムアウト、ロックアウト、書き込み整合性の設定を更新できます。手順l isi smb shares create を実行してこの機能を有効化し、設定を構成して、isi

smb shares modify または isi smb settings shares modify を実行して設定を変更します。次のコマンドでは、Share4 という名前の新しい共有の継続的可用性を有効化し、処理のタイムアウトを 3分（180秒）に設定し、厳格なロックアウトを適用して、書き込み整合性の設定を［full］に変更します。

isi smb shares create --name=Share4 --path=/ifs/data/Share4 \--continuously-available=yes --ca-timeout=180 \--strict-ca-lockout=yes --ca-write-integrity=full

SMB ファイルのフィルタリング共有またはアクセスゾーンへのファイルの書き込みを許可するか拒否するには、SMB ファイルのフィルタリングを使用します。この機能では、スループットの問題、セキュリティの問題、ストレージのクラッター、生産性の低下が起こる可能性のある特定タイプのファイルの使用を拒否することができます。特定のファイルタイプでの共有への書き込みを許可することにより、書き込みを制限できます。l ファイルへの書き込みを拒否する場合は、書き込みを行うことができないファイルタイプを拡張

子により指定できます。OneFS では、その他すべてのファイルタイプを共有に書き込むことができます。

l ファイルへの書き込みを許可する場合は、書き込みを行うことができるファイルタイプを拡張子により指定できます。OneFS では、その他すべてのファイルタイプの共有への書き込みが拒否されます。

ファイル共有

SMB の継続的な可用性 443

制限ポリシーが変更された場合、ファイル拡張子を追加または削除することができます。

SMB ファイルフィルタリングの有効化共有の作成または変更時に、SMB ファイルフィルタリングを有効化または無効化できます。

手順l isi smb shares create または isi smb shares modify を実行します。

次のコマンドでは、Share2 という名前の共有のファイルフィルタリングを有効化し、ファイルタイプ.wav と.mpg による書き込みを拒否します。

isi smb shares modify Share2 --file-filtering-enabled=yes \file-filter-extensions=.wav,.mpg

次のコマンドでは、Share3 という名前の共有のファイルフィルタリングを有効化し、ファイルタイプ.xml を指定し、そのファイルタイプの書き込みを許可するように指定します。

isi smb shares modify Share3 --file-filtering-enabled=yes \file-filter-extensions=.xml --file-filter-type=allow

シンボリックリンクと SMB クライアントOneFS では、SMB2 クライアントがシームレスな方法でシンボリックリンクにアクセスできます。多くの管理者は、重要なファイルまたはディレクトリが環境に分散している場合には特に、シンボリックリンクを導入して、ファイルシステム階層を仮想的に並べ替えます。SMB共有では、シンボリックリンク（symlink またはソフトリンクとも呼ぶ）は、ターゲットファイルまたはディレクトリへのパスを含むファイルのタイプです。シンボリックリンクは、SMB クライアントで実行されているアプリケーションに対して透過的であり、通常のファイルおよびディレクトリとして機能します。相対リンクと絶対リンクのサポートは、SMB クライアントによって有効化されます。特定の構成は、クライアントタイプとバージョンに依存します。アクティブな SMB セッションのパスにないネットワークファイルまたはディレクトリを指すシンボリックリンクは、絶対（またはリモート）リンクと呼ばれることがあります。絶対リンクは、現在の作業ディレクトリにかかわらずファイルシステム上の同じ場所を指し、通常はパスの一部にルートディレクトリを含みます。反対に、相対リンクはユーザーまたはアプリケーションの作業ディレクトリを直接指すシンボリックリンクであるため、リンクの作成時に完全な絶対パスを指定する必要はありません。OneFSは、SMB2 プロトコルを通じてシンボリックリンクを公開し、OneFS に依存してクライアントに代わってリンクを解決する代わりに SMB2 クライアントがリンクを解決できるようにします。相対リンクまたは絶対リンクをトラバースするには、SMB クライアントが、リンクをたどることのできる SMB共有に対して認証されている必要があります。ただし、SMB クライアントに共有へのアクセス権がない場合は、ターゲットへのアクセスが拒否され、Windowsはユーザーに認証情報を求めるプロンプトを表示しません。SMB2 および NFS リンクは、相対リンクとのみ相互運用性があります。互換性を最大にするために、これらのリンクは POSIX クライアントから作成します。

SMB1 クライアント（Windows XPや 2002など）は相対リンクを使用できますが、サーバー側をトラバースし、「ショートカットファイル」と呼ばれます。絶対リンクは、これらの環境では機能しません。

ファイル共有


シンボリックリンクの有効化SMB環境でシンボリックリンクを完全に使用するには、シンボリックリンクを有効化しておく必要があります。Windows SMB クライアントが各タイプのシンボリックリンクをトラバースするためには、クライアントでそれらを有効化する必要があります。 Windows では次のリンクタイプがサポートされます。l ローカルからローカルl リモートからリモートl ローカルからリモートl リモートからローカル4 つのリンクタイプをすべて有効化するには次のWindows コマンドを実行する必要があります。

fsutil behavior set SymlinkEvaluation L2L:1 R2R:1 L2R:1 R2L:1

Samba を使用している POSIX クライアントの場合は、[global]セクション（Samba構成ファイル（smb.conf））で次のオプションを設定して、Samba クライアントが相対および絶対リンクをトラバースできるようにする必要があります。

follow symlinks=yes wide links=yes

この場合、smb.conf ファイルの「wide links」は絶対リンクを意味します。このファイルのデフォルト設定は no です。

シンボリックリンクの管理シンボリックリンクを有効化した後で、Windows コマンドプロンプトまたは POSIX コマンドラインからそれらを作成または削除できます。シンボリックリンクは、SMB2 クライアントでWindows ［mklink］コマンドを使用して、またはPOSIX コマンドラインインターフェイスから［ln］コマンドを使用して作成します。たとえば、管理者は、Link1 という名前のリンクを作成することで、User1 という名前のユーザーに File1.doc という名前のファイル（/ifs/data/ディレクトリ内）に対するアクセス権を、そのディレクトリへのアクセス権は与えることなく付与できます。

mklink \ifs\home\users\User1\Link1 \ifs\data\Share1\File1.doc

シンボリックリンクを作成すると、ファイルリンクまたはディレクトリリンクとして指定されます。リンクの設定後は、指定を変更できません。シンボリックリンクパスは、相対パスまたは絶対パスとして形式設定できます。シンボリックリンクを削除するには、Windows の del コマンドまたは POSIX環境の rm コマンドを使用します。シンボリックリンクを削除する場合は、ターゲットファイルまたはディレクトリがまだ存在することに注意してください。ただし、ターゲットファイルまたはディレクトリを削除する場合、シンボリックリンクは引き続き存在し、古いターゲットを指しているため、リンクが破損します。

ファイル共有

シンボリックリンクと SMB クライアント 445

SMB共有への匿名アクセスローカルゲストユーザーを有効化し、ゲストユーザーの偽装を許可することで、SMB共有への匿名アクセスを構成できます。たとえば、ブラウザー実行可能ファイルやその他のパブリックデータなどのファイルをインターネット上に格納した場合、匿名アクセスにより、任意のユーザーが認証なしで SMB共有にアクセスできます。

SMB設定の管理SMB サービスの有効化/無効化、SMB サービスのグローバル設定の構成、各アクセスゾーンに固有のデフォルトの SMB共有設定の構成を行うことができます。

SMB のグローバル設定の表示EMC Isilon クラスター内のすべてのノードに適用される SMB のグローバル設定を表示できます。このタスクは、OneFS コマンドラインインターフェイスからのみ実行できます。手順

1. クラスター内の任意のノードへの SSH接続を確立します。2. isi smb settings global view コマンドを実行します。


Access Based Share Enum: No Dot Snap Accessible Child: Yes Dot Snap Accessible Root: Yes Dot Snap Visible Child: No Dot Snap Visible Root: Yes Enable Security Signatures: No Guest User: nobody Ignore Eas: No Onefs Cpu Multiplier: 4 Onefs Num Workers: 0Require Security Signatures: No Server Side Copy: Yes Server String: Isilon Server Srv Cpu Multiplier: 4 Srv Num Workers: 0 Support Multichannel: Yes Support NetBIOS: No Support Smb2: Yes

グローバル SMB設定の構成SMB ファイル共有のグローバル設定を行えます。このタスクは、OneFS コマンドラインインターフェイスからのみ実行できます。

SMB ファイル共有のグローバル設定を変更すると、運用上の障害が発生することがあります。これらの設定を変更する前に、考えられる結果に注意する必要があります。

手順1. クラスター内の任意のノードへの SSH接続を確立します。2. isi smb settings global modify コマンドを実行します。

ファイル共有


次のコマンド例では、SMB サーバー側のコピーが無効になります。

isi smb settings global modify --server-side-copy=no

SMB サービスの有効化または無効化SMB サービスはデフォルトで有効化されます。

isi services -l コマンドを実行してサービスを有効化または無効化するかを決定できます。

手順l isi services コマンドを実行します。

次のコマンドを実行すると、SMB サービスが無効化されます。

isi services smb disable

次のコマンドを実行すると、SMB サービスが有効化されます。

isi services smb enable

SMB マルチチャネルの有効化または無効化SMB マルチチャネルは、Windows クライアントコンピューターから EMC Isilon クラスターのノードへの複数のコンカレント SMB セッションに必要です。Isilon クラスターでは、SMB マルチチャネルはデフォルトで有効化されます。SMB マルチチャネルは、コマンドラインインターフェイスを通じてのみ有効化または無効化できます。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi smb settings global modify コマンドを実行します。

次のコマンドを実行すると、EMC Isilon クラスター上で SMB マルチチャネルが有効化されます。

isi smb settings global modify –-support-multichannel=yes

次のコマンドを実行すると、EMC Isilon クラスター上で SMB マルチチャネルが無効化されます。

isi smb settings global modify –-support-multichannel=no

デフォルトの SMB共有設定の表示アクセスゾーンに固有のデフォルトの SMB共有設定を表示できます。

手順l isi smb settings shares view コマンドを実行します。

ファイル共有

SMB設定の管理 447

次のコマンド例は、zone5 に対して構成されているデフォルトの SMB共有設定を表示します。

isi smb settings shares view --zone=zone5


Access Based Enumeration: NoAccess Based Enumeration Root Only: No

Allow Delete Readonly: NoAllow Execute Always: No

Ca Timeout: 120Strict Ca Lockout: No

Change Notify: norecurseCreate Permissions: default acl

Directory Create Mask: 0700Directory Create Mode: 0000

File Create Mask: 0700File Create Mode: 0100

File Filtering Enabled: YesFile Filter Extensions: .wav

File Filter Type: denyHide Dot Files: No

Host ACL: -Impersonate Guest: neverImpersonate User: -Mangle Byte Start: 0XED00

Mangle Map: 0x01-0x1F:-1, 0x22:-1,0x2A:-1, 0x3A:-1,0x3C:-1, 0x3E:-1, 0x3F:-1, 0x5C:-1

Ntfs ACL Support: YesOplocks: Yes

Strict Flush: YesStrict Locking: No

デフォルトの SMB共有設定の構成各アクセスゾーンに固有の SMB共有設定を行えます。

デフォルト設定は、アクセスゾーンに追加されたすべての新規共有に適用されます。

デフォルト設定を変更する場合、変更はアクセスゾーン内のすべての既存の共有に適用されます。

手順1. isi smb settings shares modify コマンドを実行します。次のコマンドでは、ゲストの zone5内の共有へのアクセスが許可されないように指定します。

isi smb settings global modify --zone=zone5 --impersonate-guest=never

SMB共有の管理クラスター上の各 SMB シェアとWindows ネットワークとの相互作用は、ルールや各種の設定を構成して制御することができます。OneFS は、ユーザーホームディレクトリの %U、%D、%Z、%L、%0、%1、%2、%3 の各変数の拡張および自動プロビジョニングをサポートしています。

ファイル共有


SMB共有に関連づけられているユーザーおよびグループを構成できます。また、それらの共有レベルの権限を表示または変更できます。

詳細な SMB共有設定を構成するのは、SMB プロトコルについて十分に理解している場合のみにすることをお勧めします。

SMB共有の作成SMB共有を作成するときに、デフォルトのアクセス許可、パフォーマンス、アクセス設定を上書きできます。共有パスに拡張変数を含めて SMB ホームディレクトリプロビジョニングを構成することにより、ユーザーごとに固有のホームディレクトリを自動的に作成してユーザーをリダイレクトできます。

はじめにSMB共有として使用するパスを指定する必要があります。共有はアクセスゾーンに固有であり、共有パスはゾーンパスの下に存在する必要があります。既存のパスを指定することも、共有の作成時にパスを作成することもできます。SMB共有を作成する前にアクセスゾーンを作成します。

ディレクトリパスには 1 つ以上の拡張変数を指定できますが、--allow-variable-expansion と--auto-create-directory の両方のパラメーターに対してフラグを true に設定する必要があります。これらの設定を指定しない場合、変数拡張文字列はシステムによって文字どおりに解釈されます。手順

1. isi smb shares create コマンドを実行します。次のコマンドは、/ifs/zone5/data/share1 にディレクトリを作成し、そのパスを使用して共有 share1 を作成して、その共有を既存のアクセスゾーン zone5 に追加します。

mkdir /ifs/data/share1 isi smb shares create --name=share1 \--path=/ifs/data/share1 --zone=zone5 --browsable=true \--description="Example Share 1"

共有名には 80文字まで使用できます。ただし、次の文字は使用できません。" \ /[ ] : | < > + = ; , * ?また、クラスターの文字エンコードが UTF-8 に設定されていない場合、SMB共有の名前は大文字と小文字が区別されます。

次のコマンドは、/ifs/data/share2 にディレクトリを作成し、SMB共有に変換して、その共有をデフォルトの System ゾーン（ゾーンが指定されていないため）に追加します。

isi smb shares create share2 --path=/ifs/data/share2 \--create-path --browsable=true --description="Example Share 2"

次のコマンドは、/ifs/data/share3 にディレクトリを作成し、それを SMB共有に変換します。このコマンドは、共有に ACL も適用します。

isi smb shares create share3 --path=/ifs/data/share3 \--create-path --browsable=true --description="Example Share 3" \ --inheritable-path-acl=true --create-permissions="default acl"

ファイル共有

SMB共有の管理 449

デフォルトの ACL が構成されておらず、親ディレクトリに継承可能な ACL がない場合、ACLは［directory-create-mask］および［directory-create-mode］設定で共有に対して作成されます。

次のコマンドは、ディレクトリ/ifs/data/share4 を作成し、それを参照不能な SMB共有に変換します。このコマンドは、権限制御用のモードビットを使用するようにも構成します。

isi smb shares create --name=share4 --path=/ifs/data/share4 \--create-path --browsable=false --description="Example Share 4" \--inheritable-path-acl=true --create-permissions="use create \mask and mode"

2. 次のコマンドは、共有に接続する各ユーザーのホームディレクトリをユーザーの NetBIOS ドメインとユーザー名に基づいて作成します。この例では、ユーザーが DOMAIN という名前のドメインに user_1 というユーザー名を持つ場合、パス/ifs/home/%D/%Uは/ifs/home/DOMAIN/user_1 に展開されます。

isi smb shares modify HOMEDIR --path=/ifs/home/%D/%U \--allow-variable-expansion=yes --auto-create-directory=yes

次のコマンドは、HOMEDIR という名前の共有を既存のパス/ifs/share/home で作成します。

isi smb shares create HOMEDIR /ifs/share/home

3. isi smb shares permission modify コマンドを実行して、共有へのアクセスを有効化します。次のコマンドは、well-known ユーザーである Everyone に、HOMEDIR共有へのすべてのアクセスを許可します。

isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full

SMB共有の変更SMB共有の設定を個別に変更できます。

はじめにSMB共有はゾーン固有です。共有を変更する際には、その共有が存在するアクセスゾーンを指定する必要があります。アクセスゾーンが識別されない場合、OneFS では System ゾーンがデフォルトです。変更する共有と同じ名前の共有が System ゾーンにある場合、System ゾーンの共有が変更されます。手順

1. isi smb shares modify コマンドを実行します。

ファイル共有


次の例では、zone5 にある share1 のファイルパスが/ifs/zone5/data を示しています。次のコマンドは、share1 のファイルパスを/ifs/zone5/etc に変更します。このパスは zone5 のパスの別ディレクトリです。

isi smb shares modify share1 --zone=zone5 \ --path=/ifs/zone5/etc

クラスターの文字エンコードが UTF-8 に設定されていない場合、SMB共有名は大文字と小文字が区別されます。

SMB共有の削除不要になった SMB共有は削除できます。

はじめにSMB共有はゾーン固有です。共有を削除する場合は、共有が属するアクセスゾーンを識別する必要があります。アクセスゾーンが識別されない場合、OneFS では System ゾーンがデフォルトです。削除する共有が System ゾーン内の共有と同じ名前の場合は、System ゾーン内の共有が削除されます。SMB共有を削除した場合、共有のパスは削除されますが、参照したディレクトリは引き続き存在します。削除した共有と同じパスを持つ新しい共有を作成した場合、以前の共有が参照したディレクトリは新しい共有を通して再びアクセスできます。手順

1. isi smb shares delete コマンドを実行します。次のコマンドを実行すると、Share1 という名前の共有が zone-5 という名前のアクセスゾーンから削除されます。

isi smb shares delete Share1 --zone=zone-5

2. 確認のプロンプトで、「yes」と入力します。

Everyone アカウントの/ifs共有へのアクセス制限デフォルトでは、/ifs ルートディレクトリは System アクセスゾーンで SMB共有として構成されます。この共有の Everyone アカウントは read-only アクセスに制限することをお勧めします。手順

1. isi smb shares permission modify コマンドを実行します。次の例では、/ifs ディレクトリに対して構成された SMB共有に対して Everyone アカウント権限を読み取り専用に変更します。

isi smb shares permission modify ifs --wellknown=Everyone \ -d allow -p read

ファイル共有


2. (オプション) 次のコマンドを実行して共有の権限をリストし、変更を確認します。

isi smb shares permission list ifs

単一の SMB共有への匿名アクセスの構成ゲストユーザーの偽装を通じて、単一の共有に格納されているデータへの匿名アクセスを構成できます。手順

1. isi auth users modify コマンドを実行して、目的の共有を含むアクセスゾーンでゲストユーザーアカウントを有効化します。次のコマンドを実行すると、zone3 という名前のアクセスゾーンでゲストユーザーが有効化されます。

isi auth users modify Guest --enabled=yes --zone=zone3

2. isi smb share modify コマンドを実行して、匿名アクセスを許可する共有にゲスト偽装を設定します。次のコマンドを実行すると、zone3内の share1 という名前の共有にゲスト偽装が構成されます。

isi smb share modify share1 --zone=zone3 \--impersonate-guest=always

3. isi smb share permission list コマンドを実行して、ゲストユーザーアカウントに共有へのアクセス権限があることを確認します。次のコマンドを実行すると、zone3内の share1 に対する権限が一覧表示されます。

isi smb share permission list share1 --zone=zone3


Account Account Type Run as Root Permission Type Permission----------------------------------------------------------------Everyone wellknown False allow readGuest user False allow full----------------------------------------------------------------

アクセスゾーンのすべての SMB共有への匿名アクセスの構成ゲストユーザーの偽装を通じて、アクセスゾーンに格納されているデータへの匿名アクセスを構成できます。手順

1. isi auth users modify コマンドを実行して、目的の共有を含むアクセスゾーンでゲストユーザーアカウントを有効化します。次のコマンドを実行すると、zone3 という名前のアクセスゾーンでゲストユーザーが有効化されます。

isi auth users modify Guest --enabled=yes --zone=zone3

ファイル共有


2. isi smb settings share modify コマンドを実行して、アクセスゾーン内のすべての共有のデフォルト値としてゲスト偽装を設定します。次のコマンドを実行すると、zone3内のすべての共有にゲスト偽装が構成されます。

isi smb settings share modify --zone=zone3 \--impersonate-guest=always

3. isi smb share permission list コマンドを実行して、ゲストユーザーアカウントにアクセスゾーン内の各共有に対する権限があることを確認します。

次のコマンドを実行すると、zone3内の share1 に対する権限が一覧表示されます。

isi smb share permission list share1 --zone=zone3


Account Account Type Run as Root Permission Type Permission----------------------------------------------------------------Everyone wellknown False allow readGuest user False allow full----------------------------------------------------------------

マルチプロトコルホームディレクトリアクセスの構成FTP または SSH によってこの共有にアクセスするユーザーに対して、SMB で接続しているか、FTPまたは SSH でログインしているかにかかわらず、それらのユーザーのホームディレクトリパスを同じにすることができます。このタスクは、OneFS コマンドラインインターフェイスでのみ実行できます。

このコマンドは、SMB共有に対して、ユーザーの認証プロバイダーで指定されるホームディレクトリテンプレートを使用するよう指示します。この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。手順

1. クラスター内の任意のノードへの SSH接続を確立します。2. 次のコマンドを実行します。［<share>］は SMB共有の名前で、--pathはユーザーの認

証プロバイダーから指定されたホームディレクトリテンプレートのディレクトリパスです。

isi smb shares modify ［<share>］ --path=""

サポートされる拡張変数SMB共有パスまたは認証プロバイダーのホームディレクトリテンプレートに拡張変数を組み込むことができます。OneFS では次の拡張変数がサポートされます。拡張変数を持つ共有を構成すると、パフォーマンスを向上させ、管理する共有数を減少させることができます。たとえば、各ユーザーに共有を作成する代わりに、共有のための%U変数を使用できます。各ユーザーのパスが異なるように名前に%U を使用すると、各ユーザーは自分のホームディレクトリのみを表示してアクセスできるので、セキュリティは確保されます。

ファイル共有


Web管理インターフェイスを介して SMB共有を作成する場合、［Allow Variable Expansion］チェックボックスを選択する必要があります。選択しないと、文字列がシステムにより文字どおりに解釈されます。

変数値説明

%U ユーザー名（例：user_001）ユーザー名に展開し、異なるユーザーが異なるホームディレクトリを使用できるようにします。この変数は通常、パスの末尾に組み込まれます。たとえば、ユーザー user1 の場合、パス/ifs/home/%Uは/ifs/home/user1 にマップします。

%D NetBIOS ドメイン名（例：YORK.EAST.EXAMPLE.COM

に対する YORK）

認証プロバイダーに基づいて、ユーザーのドメイン名に展開します。l Active Directory ユーザー

の場合、%Dは Active

Directory の NetBIOS名に展開します。

l ローカルユーザーの場合、%Dは大文字のクラスター名に展開します。たとえば、cluster1 というクラスターの場合、%Dは CLUSTER1 に展開します。

l System ファイルプロバイダーのユーザーの場合、%DはUNIX_USERS に展開します。

l その他のファイルプロバイダーのユーザーの場合、%DはFILE_USERS に展開します。

l LDAP ユーザーの場合、%D

は LDAP_USERS に展開します。

l NIS ユーザーの場合、%DはNIS_USERS に展開します。

%Z ゾーン名（例：ZoneABC）アクセスゾーン名に展開します。複数のゾーンがアクティブの場合、この変数は別々のゾーンのユーザーの区別に便利です。たとえば、System ゾーンのユーザー user1

の場合、パス/ifs/home/%Z/%Uは/ifs/home/

ファイル共有


変数値説明

System/user1 にマップします。

%L ホスト名（小文字のクラスターホスト名）

小文字に正規化されたクラスターのホスト名に展開します。使用は制限されます。

%0 ユーザー名の最初の文字ユーザー名の最初の文字に展開します。



ユーザー名が 3文字より少ない場合、%0、%1、%2 の変数は順に文字の送り込みが行われます。たとえば、ユーザー ab の場合、変数はそれぞれ a、b、a にマップします。ユーザー a の場合は、3 つの変数すべてが a にマップします。

SMB コマンドSMB ファイル共有サービスは、SMB コマンドを使用してアクセスおよび構成できます。

isi smb log-level filters create

新しい SMB ログフィルターを作成します。

構文

isi smb log-level filters create ［<level>］ [--ops ［<string>］] [--ip-addrs ［<string>］] [--verbose]


新しいフィルターのログレベル。有効なログレベルは次のとおりです。l ［always］l ［error］l ［warning］l ［info］l ［verbose］l ［debug］l ［trace］

{--ops | -o} ［<string>］

ファイル共有

SMB コマンド 455

フィルターするすべての SMB操作をリストします。各操作を繰り返します。

{--ip-addrs | -i} ［<string>］フィルターする IPv4 および IPv6 アドレスをリストします。IP アドレスごとに繰り返します。

isi smb log-level filters delete

SMB ログフィルターを削除します。

構文

isi smb log-level filters delete ［<id>］［<level>］[--all][--force][--verbose]


特定の SMB ログフィルターを ID別に削除します。

［<level>］指定されたレベルのすべての SMB ログフィルターを削除します。次のレベルが有効です。

l ［always］l ［error］l ［warning］l ［info］l ［verbose］l ［debug］l ［trace］

--allすべての SMB ログレベルフィルターを削除します。

{--force | -f}

削除を確認するプロンプトをスキップします。

{verbose | -v}


isi smb log-level filters list

SMB ログフィルターをリストします。

構文

isi smb log-level filters list[--limit ［<integer>］][--format {table | json | csv | list}][--no-header]

ファイル共有


[--no-footer] [--verbose]


指定された数の SMB ログレベルフィルターを表示します。


SMB ログレベルフィルターを、表、JSON、コンマ区切り、リスト形式で表示します。

{--no-header | -a}

ヘッダーはコンマ区切りまたは表形式で表示されません。

{--no-footer | -z}


{--verbose | -v}


isi smb log-level filters view

個々の SMB ログレベルフィルターを表示します。

構文

isi smb log-level filters view ［<id>］ [--level ［<string>］]


表示する SMB ログレベルフィルターの ID。

{--level | -l} ［<string>］表示するログレベルを指定します。次のレベルが有効です。


isi smb log-level modify

SMB サービスのログレベルを設定します。

ファイル共有


構文

isi smb log-level modify ［<level>］ [--verbose]


SMB サービスを設定するログレベルを指定します。次のレベルが有効です。


{--verbose | -v}


isi smb log-level view

SMB サービスの現在のログレベルを表示します。

構文

isi smb log-level view


isi smb openfiles close

開いているファイルを閉じます。

開いているファイルの一覧を表示するには、isi smb openfiles list コマンドを実行します。

構文

isi smb openfiles close ［<id>］ [--force]


閉じるオープンファイルの ID を指定します。

ファイル共有


{--force | -f}


例次のコマンドを実行すると、ID が 32 のファイルが閉じられます。

isi smb openfiles close 32

isi smb openfiles list

SMB共有内の開かれているファイルの一覧を表示します。

構文

isi smb openfiles list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]


指定した数を超える SMB オープンファイルを表示しません。



{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi smb sessions delete

最初にコンピューター、次にオプションでユーザーでフィルターした SMB セッションを削除します。

SMB セッションを削除する前に、開いているファイルを自動的に閉じます。

構文

isi smb sessions delete ［<computer-name>］ [{--user ［<name>］ | --uid ［<id>］ | --sid ［<sid>］}]

ファイル共有


[--force] [--verbose]

オプション［<computer-name>］

必須項目。コンピューター名を指定します。 --user、--uid、--sid オプションが省略されている場合は、このコンピューターに関連づけられているすべての SMB セッションが削除されます。

--user［<string>］ユーザーの名前を指定します。指定したユーザーに関連づけられているコンピューターへのSMB セッションのみ削除します。

--uid［<id>］数字から成るユーザー識別子を指定します。指定したユーザー識別子に関連づけられているコンピューターへの SMB セッションのみ削除します。

--sid［<sid>］セキュリティ識別子を指定します。セキュリティ識別子に関連づけられているコンピューターへのSMB セッションのみ削除します。

{--force | -f}

確認プロンプトなしでコマンドを実行することを指定します。

例次のコマンドを実行すると、computer1 というコンピューターに関連づけられているすべての SMB セッションが削除されます。

isi smb sessions delete computer1

次のコマンドを実行すると、computer1 というコンピューターおよび user1 というユーザーに関連づけられているすべての SMB セッションが削除されます。

isi smb sessions delete computer1 --user=user1

isi smb sessions delete-user

最初にユーザー、次にオプションでコンピュータでフィルタした SMB セッションを削除します。

SMB セッションを削除する前に、開いているファイルを自動的に閉じます。

構文

isi smb sessions delete-user {<user> | --uid ［<id>］ | --sid ［<sid>］ } [--computer-name ［<string>］] [--force] [--verbose]

ファイル共有


オプション<user>

必須項目。ユーザー名を指定します。［--computer-name］オプションが省略されている場合は、このユーザーに関連づけられているすべての SMB セッションが削除されます。

{--computer-name | -C} ［<string>］指定したコンピュータに関連づけられているユーザーの SMB セッションのみ削除します。

{--force | -f}


{--verbose | -v}


例次のコマンドを実行すると、user1 というユーザーに関連づけられているすべての SMB セッションが削除されます。

isi smb sessions delete-user user1

次のコマンドを実行すると、user1 というユーザーおよび computer1 というコンピュータに関連づけられているすべての SMB セッションが削除されます。

isi smb sessions delete-user user1 \--computer-name=computer1

isi smb sessions list

開いている SMB セッションの一覧を表示します。

構文

isi smb sessions list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]


一覧表示する SMB セッションの最大数を指定します。



{--no-header | -a}


ファイル共有


{--no-footer | -z}


{--verbose | -v}


isi smb settings global modify

グローバル SMB設定を変更します。

構文

isi smb settings global modify [--access-based-share-enum {yes | no}] [--revert-access-based-share-enum] [--dot-snap-accessible-child {yes | no}] [--revert-dot-snap-accessible-child] [--dot-snap-accessible-root] [--revert-dot-snap-accessible-root] [--dot-snap-visible-child {yes | no}] [--revert-dot-snap-visible-child] [--dot-snap-visible-root {yes | no}] [--revert-dot-snap-visible-root] [--enable-security-signatures {yes | no}] [--revert-enable-security-signatures] [--guest-user ［<string>］] [--revert-guest-user] [--ignore-eas {yes | no}] [--revert-ignore-eas] [--onefs-cpu-multiplier ［<integer>］] [--revert-onefs-cpu-multiplier] [--onefs-num-workers ［<integer>］] [--revert-onefs-num-workers] [--require-security-signatures {yes | no}] [--revert-require-security-signatures] [--server-side-copy {yes | no}] [--revert-server-side-copy] [--server-string ［<string>］] [--revert-server-string] [--support-multichannel {yes | no}] [--revert-support-multichannel] [--support-netbios {yes | no}] [--revert-support-netbios] [--support-smb2 {yes | no}] [--revert-support-smb2] [--verbose]

オプション--access-based-share-enum {yes | no}

要求元ユーザーがアクセス権を持つファイルとフォルダのみ列挙します。--revert-access-based-share-enum

値を--access-based-share-enum のシステムデフォルトに設定します。

--dot-snap-accessible-child {yes | no}

共有ルートのサブディレクトリで、/ifs/.snapshot ディレクトリを表示するかどうかを指定します。デフォルトの設定は no です。

--revert-dot-snap-accessible-child

ファイル共有


値を--dot-snap-accessible-child のシステムデフォルトに設定します。

--dot-snap-accessible-root {yes | no}

/ifs/.snapshot ディレクトリを共有ルートでアクセス可能にするかどうかを指定します。デフォルトの設定は yes です。

--revert-dot-snap-accessible-root値を--dot-snap-accessible-root のシステムデフォルトに設定します。

--dot-snap-visible-child {yes | no}

共有ルートのサブディレクトリで、/ifs/.snapshot ディレクトリを表示するかどうかを指定します。デフォルトの設定は no です。

--revert-dot-snap-visible-child値を--dot-snap-visible-child のシステムデフォルトに設定します。

--dot-snap-visible-root {yes | no}

共有のルートで/ifs/.snapshot ディレクトリを表示可能にするかどうかを指定します。デフォルトの設定は no です。

--revert-dot-snap-visible-root値を--dot-snap-visible-root のシステムデフォルトに設定します。

--enable-security-signatures {yes | no}

サーバーが署名済み SMBパケットをサポートするかどうかを示します。

--revert-enable-security-signatures値を--enable-security-signatures のシステムデフォルトに設定します。

--guest-user［<integer>］ゲストアクセスに使用する完全修飾ユーザーを指定します。

--revert-guest-user値を--guest-user のシステムデフォルトに設定します。

--ignore-eas {yes | no}

ファイル上の EA を無視するかどうかを指定します。

--revert-ignore-eas値を--ignore-eas のシステムデフォルトに設定します。

--onefs-cpu-multiplier［<integer>］CPU の数に基づいて構成する OneFS ワーカースレッド数を指定します。有効な値は、1～4です。

--revert-onefs-cpu-multiplier値を--onefs-cpu-multiplier のシステムデフォルトに設定します。

--onefs-num-workers［<integer>］構成できる OneFS ワーカースレッドの数を指定します。有効な値は、0～1024 です。0 に設定した場合、SRV ワーカーの数は、CPU の数の--onefs-cpu-multiplier倍の値と等しくなります。

--revert-onefs-num-workers

ファイル共有


値を--onefs-num-workers のシステムデフォルトに設定します。

--require-security-signatures {yes | no}

パケット署名が必要かどうかを指定します。yes に設定されている場合、署名は常に必要です。no に設定されている場合、署名は不要ですが、署名を要求するクライアントは、--enable-security-signatures オプションが yes に設定されている場合に接続を許可されます。

--revert-require-security-signatures値を--require-security-signatures のシステムデフォルトに設定します。

--server-side-copy {yes | no}

SMB サーバー側のコピー機能を有効または無効にします。デフォルトは yes です。--revert-server-side-copy

値を--server-side-copy のシステムデフォルトに設定します。

--server-string［<string>］サーバーの説明を指定します。

--revert-server-string値を--revert-server-string のシステムデフォルトに設定します。

--support-multichannel {yes | no}

SMB 3.0 のマルチチャネルがクラスターで有効化されているかどうかを指定します。SMB マルチチャネルはデフォルトで有効化されます。

--revert-support-multichannel--support-multichannel の値をデフォルトのシステム値に戻します。

--support-netbios {yes | no}

NetBIOS プロトコルをサポートするかどうかを指定します。

--revert-support-netbios値を--support-netbios のシステムデフォルトに設定します。

--support-smb2 {yes | no}

SMB 2.0 プロトコルをサポートするかどうかを指定します。デフォルトの設定は yes です。--revert-support-smb2

値を--support-smb2 のシステムデフォルトに設定します。

isi smb settings global view

デフォルトの SMB構成設定を表示します。

構文

isi smb settings global view


ファイル共有


isi smb settings shares modify

SMB共有のデフォルト設定を変更します。

構文

isi smb settings shares modify [--access-based-enumeration {yes | no}] [--revert-access-based-enumeration] [--access-based-enumeration-root-only {yes | no}] [--revert-access-based-enumeration-root-only] [--allow-delete-readonly {yes | no}] [--revert-allow-delete-readonly] [--allow-execute-always {yes | no}] [--revert-allow-execute-always] [--ca-timeout ［<integer>］] [--revert-ca-timeout] [--strict-ca-lockout {yes | no}] [--revert-strict-ca-lockout] [--ca-write-integrity {none | write-read-coherent | full}] [--revert-ca-write-integrity] [--change-notify {all | norecurse | none}] [--revert-change-notify] [--create-permissions {"default acl" | "inherit mode bits" | "use create mask and mode"}] [--revert-create-permissions] [--directory-create-mask ［<integer>］] [--revert-directory-create-mask] [--directory-create-mode ［<integer>］] [--revert-directory-create-mode] [--file-create-mask ［<integer>］] [--revert-file-create-mask] [--file-create-mode ［<integer>］] [--revert-file-create-mode] [--file-filtering-enabled {yes | no}] [--revert-file-filtering-enabled] [--file-filter-extensions ［<string>］] [--clear-file-filter-extensions] [--add-file-filter-extensions ［<string>］] [--remove-file-filter-extensions ［<string>］] [--revert-file-filter-extensions] [--file-filter-type {deny | allow} [--revert-file-filter-type] [--hide-dot-files {yes | no}] [--revert-hide-dot-files] [--host-acl ［<host-acl>］] [--revert-host-acl] [--clear-host-acl] [--add-host-acl ［<string>］] [--remove-host-acl ［<string>］] [--impersonate-guest {always | "bad user" | never}] [--revert-impersonate-guest] [--impersonate-user ［<string>］] [--revert-impersonate-user] [--mangle-byte-start ［<integer>］] [--revert-mangle-byte-start] [--mangle-map ［<mangle-map>］] [--revert-mangle-map] [--clear-mangle-map] [--add-mangle-map ［<string>］] [--remove-mangle-map ［<string>］] [--ntfs-acl-support {yes | no}] [--revert-ntfs-acl-support] [--oplocks {yes | no}]\

ファイル共有


[--revert-oplocks] [--strict-flush {yes | no}] [--revert-strict-flush] [--strict-locking {yes | no}] [--revert-strict-locking] [--zone ［<string>］]

オプション--access-based-enumeration {yes | no}

アクセスベースの列挙が有効かどうかを指定します。

--revert-access-based-enumeration値を--access-based-enumeration のシステムデフォルトに設定します。

--access-based-enumeration-root-only {yes | no}

アクセスベースの列挙が共有のルートディレクトリでのみ有効かどうかを指定します。

--revert-access-based-enumeration-root-only値を--access-based-enumeration-root-only のシステムデフォルトに設定します。

--allow-delete-readonly {yes | no}

読み取り専用ファイルを削除できるかどうかを指定します。--revert-allow-delete-readonly

値を--allow-delete-readonly のシステムデフォルトに設定します。

--allow-execute-always {yes | no}

ファイルへの読み取りアクセス権を持つユーザーがファイルの実行もできるかどうかを指定します。

--revert-allow-execute-always値を--allow-execute-always のシステムデフォルトに設定します。

--ca-timeout［<integer>］クライアントが切断されたかサーバーに障害が発生した後にパーシステントハンドルが保持される時間（秒単位）。デフォルトは 120秒です。

--revert-ca-timeout値を--ca-timeout のシステムデフォルトに設定します。

--strict-ca-lockout {yes | no}

yes に設定すると、クライアントがファイルの開かれているが切断されているパーシステントハンドルを持っている場合に、他のクライアントがそのファイルを開けないようにします。no に設定すると、OneFSはパーシステントハンドルを発行しますが、最初に開いたクライアント以外のクライアントがファイルを開こうとすると、それらを破棄します。このオプションは、共有が作成されたときに--continuously-available が yes に設定されている場合にのみ該当します。デフォルトは yes です。

--revert-strict-ca-lockout値を--strict-ca-lockout のシステムデフォルトに設定します。

--ca-write-integrity {none | write-read-coherent | full}

ファイル共有


継続的に利用可能な共有での書き込み整合性のレベルを指定します。［none］

継続的に利用可能な書き込みは、クラスターへの他の書き込みとは異なる方法で処理されません。［none］を指定した場合にノードに障害が発生すると、通知が送信されずにデータ消失が発生する可能性があります。そのため、このオプションは推奨されません。

［write-read-coherent］データを送信した SMB クライアントに成功メッセージが返される前に、共有への書き込みが永続的なストレージに移動されるようにします。これはデフォルト設定です。

［full］データを送信した SMB クライアントに成功メッセージが返される前に、共有への書き込みが永続的なストレージに移動され、OneFS が SMB クライアントにライトキャッシュリースおよびハンドルキャッシュリースを付与できないようにします。

--revert-ca-write-integrity値を--ca-write-integrity のシステムデフォルトに設定します。

--change-notify {norecurse | all | none}

変更通知設定を定義します。指定できる値は、norecurse、all、none です。--revert-change-notify

値を--change-notify のシステムデフォルトに設定します。

--create-permissions {"default acl" | "inherit mode bits" | "usecreate mask and mode"}

ファイルまたはディレクトリが作成されたときに適用するデフォルトの権限を設定します。--revert-create-permissions

値を--create-permissions のシステムデフォルトに設定します。

--directory-create-mask［<integer>］ディレクトリが作成されたときにどのマスクビットを適用するかを定義します。

--revert-directory-create-mask値を--directory-create-mask のシステムデフォルトに設定します。

--directory-create-mode［<integer>］ディレクトリが作成されたときにどのモードビットを適用するかを定義します。

--revert-directory-create-mode値を--directory-create-mode のシステムデフォルトに設定します。

--file-create-mask［<integer>］ファイルが作成されたときにどのマスクビットを適用するかを定義します。

--revert-file-create-mask値を--file-create-mask のシステムデフォルトに設定します。

--file-create-mode［<integer>］ファイルが作成されたときにどのモードビットを適用するかを定義します。

--revert-file-create-mode

ファイル共有


値を--file-create-mode のシステムデフォルトに設定します。

--file-filtering-enabled {yes | no}

yes に設定した場合、共有レベルでのファイルフィルタリングが有効になります。デフォルトの設定は no です。

--revert-file-filtering-enabled--file-filtering-enabled のシステムデフォルト値を設定します。

--file-filter-type {deny | allow}

allow に設定した場合、指定したファイルタイプを共有への書き込みに使用できるようになります。デフォルトの設定は deny です。

--revert-file-filter-type--file-filter-type のシステムデフォルト値を設定します。

--file-filter-extensions［<string>］--file-filter-type の設定に応じて、共有への書き込みを許可または拒否するファイルタイプのリストを指定します。ファイルタイプはコンマ区切り値のリストで指定することができます。

--clear-file-filter-extensions共有のファイルフィルタリング拡張子のリストをクリアします。

--add-file-filter-extensions［<string>］ファイルフィルタリング拡張子のリストにエントリーを追加します。追加するファイル拡張子ごとに繰り返します。

--remove-file-filter-extensions［<string>］ファイルフィルター拡張子のリストからエントリーを削除します。削除するファイル拡張子ごとに繰り返します。

--revert-file-filter-extensions--file-filter-extensions のシステムデフォルト値を設定します。

--hide-dot-files {yes | no}

ピリオドで始まるファイル（UNIX構成ファイルなど）を非表示にするかどうかを指定します。

--revert-hide-dot-files値を--hide-dot-files のシステムデフォルトに設定します。

--host-acl［<string>］アクセスを許可されるホストを指定します。追加の各ホスト ACL句の--host-acl を指定します。これにより、既存の ACL が置換されます。

--revert-host-acl値を--host-acl のシステムデフォルトに設定します。

--clear-host-acl［<string>］アクセスを許可されるホストを示す ACL の値をクリアします。

--add-host-acl［<string>］

ファイル共有


ACE を既存のホスト ACL に追加します。追加するホスト ACL句ごとに--add-host-acl を指定します。

--remove-host-acl［<string>］既存のホスト ACL から ACE を削除します。削除する追加のホスト ACL句ごとに--remove-host-acl を指定します。

--impersonate-guest {always | "bad user" | never}

共有へのゲストアクセスを許可します。指定できる値は、always、"bad user"、neverです。

--revert-impersonate-guest値を--impersonate-guest のシステムデフォルトに設定します。

--impersonate-user［<string>］特定のユーザーとして、すべてのファイルアクセスを実行できるようにします。これは、完全修飾ユーザー名にする必要があります。

--revert-impersonate-user値を--impersonate-user のシステムデフォルトに設定します。

--mangle-byte-start［<string>］無効なバイトの自動マングルの wchar_t開始点を指定します。

--revert-mangle-byte-start値を--mangle-byte-start のシステムデフォルトに設定します。

--mangle-map［<string>］OneFS で有効、しかし SMB名では無効な文字をマッピングします。

--revert-mangle-map値を--mangle-map のシステムデフォルトに設定します。

--clear-mangle-map［<string>］文字マングルマップの値をクリアします。

--add-mangle-map［<string>］文字マングルマップを追加します。追加の各 Add文字マングルマップに--add-mangle-map を指定します。

--remove-mangle-map［<string>］文字マングルマップを削除します。追加の各 Remove文字マングルマップに--remove-mangle-map を指定します。

--ntfs-acl-support {yes | no}

ACL を SMB クライアントから保存および編集できるかどうかを指定します。

--revert-ntfs-acl-support値を--ntfs-acl-support のシステムデフォルトに設定します。

--oplocks {yes | no}

oplock要求を許可するかどうかを指定します。

--revert-oplocks

ファイル共有


値を--oplocks のシステムデフォルトに設定します。

--strict-flush {yes | no}

フラッシュ要求を常に考慮するかどうかを指定します。--revert-strict-flush

値を--strict-flush のシステムデフォルトに設定します。

--strict-locking {yes | no}

サーバーがファイルロックをチェックおよび適用するかどうかを指定します。

--revert-strict-locking値を--strict-locking のシステムデフォルトに設定します。

--zone［<string>］アクセスゾーンの名前を指定します。

isi smb settings shares view

すべての SMB共有または指定したアクセスゾーン内の SMB共有のデフォルト設定を表示します。

構文

isi smb settings shares view [--zone ［<string>］]


アクセスゾーンの名前を指定します。指定したゾーン内の共有の設定のみ表示します。

例isi smb settings shares view によって生成された出力例を次に示します。

Access Based Enumeration: NoAccess Based Enumeration Root Only: No Allow Delete Readonly: No Allow Execute Always: No Ca Timeout: 120 Continuously Available: Yes Strict Ca Lockout: Yes Ca Write Integrity: write-read-coherent Change Notify: norecurse Create Permissions: default acl Directory Create Mask: 0700 Directory Create Mode: 0000 File Create Mask: 0700 File Create Mode: 0100 File Filtering Enabled: No File Filter Extensions: - File Filter Type: deny Hide Dot Files: No Host ACL: - Impersonate Guest: never Impersonate User: - Mangle Byte Start: 0XED00 Mangle Map: 0x01-0x1F:-1, 0x22:-1, 0x2A:-1, 0x3A:-1, 0x3C:-1, 0x3E:-1, 0x3F:-1, 0x5C:-1

ファイル共有


Ntfs ACL Support: Yes Oplocks: Yes Strict Flush: Yes Strict Locking: No

isi smb shares create

SMB共有を作成します。

構文

isi smb shares create <name> <path> [--zone ［<string>］] [--inheritable-path-acl {yes | no}] [--create-path] [--host-acl ［<string>］] [--description ［<string>］] [--csc-policy {none | documents | manual | programs}] [--allow-variable-expansion {yes | no}] [--auto-create-directory {yes | no}] [--browsable {yes | no}] [--allow-execute-always {yes | no}] [--directory-create-mask ［<integer>］] [--strict-locking {yes | no}] [--hide-dot-files {yes | no}] [--impersonate-guest {always | "bad user" | never}] [--strict-flush {yes | no}] [--access-based-enumeration {yes | no}] [--access-based-enumeration-root-only {yes | no}] [--continuously-available {yes | no}] [--ca-timeout ［<integer>］] [--strict-ca-lockout {yes | no}] [--ca-write-integrity {none | write-read-coherent | full}] [--mangle-byte-start ［<string>］] [--file-create-mask ［<integer>］] [--create-permissions {"default acl" | "inherit mode bits" | "use create mask and mode" }] [--mangle-map ［<string>］] [--impersonate-user ［<string>］] [--change-notify ［<string>］] [--oplocks {yes | no}] [--allow-delete-readonly {yes | no}] [--directory-create-mode ［<integer>］] [--ntfs-acl-support {yes | no}] [--file-create-mode ［<integer>］] [--file-filtering-enabled {yes | no}] [--file-filter-type {deny | allow}] [--file-filter-extensions ［<string>］]


必須項目。新しい SMB共有の名前を指定します。

<path>必須項目。作成する SMB共有の/ifs で始まるフルパスを指定します。

--zone［<string>］新しい SMB共有が割り当てられるアクセスゾーンを指定します。アクセスゾーンが指定されていない場合、新しい SMB共有がデフォルトの System ゾーンに割り当てられます。

ファイル共有


{--inheritable-path-acl | -i} {yes | no}

yes に設定した場合、親ディレクトリに継承可能な ACL（アクセス制御リスト）があると、そのACLは共有パス上で継承されます。デフォルトの設定は no です。

--create-pathSMB共有パスが存在しない場合は作成します。

--host-acl［<string>］ホストアクセスを定義する ACL を指定します。追加の各ホスト ACL句の--host-acl を指定します。

--description［<string>］SMB共有の説明を指定します。

--csc-policy {none | documents | manual | programs}

共有のクライアント側キャッシュポリシーを設定します。

--allow-variable-expansion {yes | no}

ホームディレクトリの変数の自動拡張を指定します。

--directory-create-mask［<integer>］ホームディレクトリを自動的に作成します。

--browsable {yes | no}, -b {yes | no}

yes に設定されている場合、共有がネットビューと参照一覧に表示されます。デフォルトの設定は yes です。


yes に設定されている場合、ファイルへの読み取りアクセス権を持つユーザーはファイルの実行もできます。デフォルトの設定は no です。

--directory-create-mask［<integer>］ディレクトリが作成されたときにどのマスクビットを適用するかを定義します。


yes に設定されている場合、サーバーにファイルロックのチェックと適用を指示します。デフォルトの設定は no です。


yes に設定されている場合、小数点で始まるファイル（UNIX構成ファイルなど）が非表示になります。デフォルトの設定は no です。


共有へのゲストアクセスを許可します。指定できる値は、always、"bad user"、neverです。


yes に設定されている場合、フラッシュリクエストは常に考慮されます。デフォルトの設定はyes です。

--access-based-enumeration {yes | no}

ファイル共有


yes に設定されている場合、要求元のユーザーがアクセスできるファイルとフォルダー上でのみアクセスベースの列挙を有効化します。デフォルトの設定は no です。


yes に設定されている場合、SMB共有のルートディレクトリでのみアクセスベースの列挙を有効化します。デフォルトの設定は no です。

--continuously-available {yes | no}

yes に設定すると、共有によって、特定のWindows クライアントがネットワークの切断またはサーバーの障害発生後に再利用できるパーシステントハンドルを開けるようになります。デフォルトは no です。



yes に設定すると、クライアントがファイルの開かれているが切断されているパーシステントハンドルを持っている場合に、他のクライアントがそのファイルを開けないようにします。no に設定すると、OneFSはパーシステントハンドルを発行しますが、最初に開いたクライアント以外のクライアントがファイルを開こうとすると、それらを破棄します。デフォルトは yes です。


継続的に利用可能な共有での書き込み整合性のレベルを指定します。［none］

継続的に利用可能な書き込みは、クラスターへの他の書き込みとは異なる方法で処理されません。［none］を指定した場合にノードに障害が発生すると、通知が送信されずにデータ消失が発生する可能性があります。そのため、このオプションは推奨されません。



--mangle-byte-start［<string>］無効なバイトの自動マングルの wchar_t開始点を指定します。

--file-create-mask［<integer>］ファイルが作成されたときにどのマスクビットを適用するかを定義します。


ファイルまたはディレクトリが作成されたときに適用するデフォルトの権限を設定します。有効な値は "default acl"、"inherit mode bits"、"use create mask and mode" です。

--mangle-map［<string>］

ファイル共有


OneFS で有効、しかし SMB名では無効な文字をマッピングします。

--impersonate-user［<string>］特定のユーザーとして、すべてのファイルアクセスを実行できるようにします。この値は完全修飾ユーザー名である必要があります。

--change-notify {norecurse | all | none}

変更通知設定を定義します。指定できる値は norecurse、all、none です。--oplocks {yes | no}

yes に設定されている場合、oplock リクエストが許可されます。デフォルトの設定は yes です。


yes に設定されている場合、読み取り専用ファイルを削除できます。デフォルトの設定は noです。

--directory-create-mode［<integer>］ディレクトリが作成されたときにどのモードビットを適用するかを定義します。


yes に設定されている場合、SMB クライアントから ACL を保存および編集できます。デフォルトの設定は yes です。

--file-create-mode［<integer>］ファイルが作成されたときにどのモードビットを適用するかを定義します。





--file-filter-extensions［<string>］--file-filter-type の設定に応じて、共有への書き込みを許可または拒否するファイル拡張子のリストを指定します。.ァイルタイプはコンマ区切り値のリストで指定することができます。

isi smb shares delete

SMB共有を削除します。

構文

isi smb shares delete ［<share>］ [--zone ［<string>］] [--force] [--verbose]

オプション［<share>］

ファイル共有


削除する SMB共有の名前を指定します。

--zone［<string>］SMB共有が割り当てられるアクセスゾーンを指定します。アクセスゾーンが指定されていない場合、デフォルトの System ゾーンに割り当てられている指定した名前の SMB共有が削除されます（見つかった場合）。

{--force | -f}


{--verbose | -v}


例次のコマンドを実行すると、警告プロンプトが表示されずに「example-zone」アクセスゾーン内の「test-smb」という名前の共有が削除されます。

isi smb shares delete test-smb --zone example-zone --force

isi smb shares list

SMB共有の一覧を表示します。

構文

isi smb shares list [--zone ［<string>］] [--limit ［<integer>］] [--sort {name | path | description}] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]


アクセスゾーンを指定します。指定したゾーン内のすべての SMB共有を表示します。アクセスゾーンが指定されていない場合、デフォルトの System ゾーン内のすべての SMB共有が表示されます。

{--limit | -l} ［<integer>］一覧表示する最大アイテム数を指定します。

--sort {name | path | description}


{--descending | -d}




ファイル共有


{--no-header | -a}


{--no-footer | -z}


--verbose | -v詳細を表示します。

isi smb shares modify

SMB共有の設定を変更します。

構文

isi smb shares modify ［<share>］ [--name ［<string>］] [--path ［<path>］] [--zone ［<string>］] [--new-zone ［<string>］] [--host-acl ［<host-acl>］] [--revert-host-acl] [--clear-host-acl] [--add-host-acl ［<string>］] [--remove-host-acl ［<string>］] [--description ［<string>］] [--csc-policy {manual | documents | programs | none}] [--revert-csc-policy] [--allow-variable-expansion {yes | no}] [--revert-allow-variable-expansion] [--auto-create-directory {yes | no}] [--revert-auto-create-directory {yes | no}] [--browsable {yes | no}] [--revert-browsable] [--allow-execute-always {yes | no}] [--revert-allow-execute-always] [--directory-create-mask ［<integer>］] [--revert-directory-create-mask] [--strict-locking {yes | no}] [--revert-strict-locking] [--hide-dot-files {yes | no}] [--revert-hide-dot-files] [--impersonate-guest {always | "bad user" | never}] [--revert-impersonate-guest] [--strict-flush {yes | no}] [--revert-strict-flush] [--access-based-enumeration {yes | no}] [--revert-access-based-enumeration] [--access-based-enumeration-root-only {yes | no}] [--revert-access-based-enumeration-root-only] [--ca-timeout ［<integer>］] [--revert-ca-timeout] [--strict-ca-lockout {yes | no}] [--revert-strict-ca-lockout] [--ca-write-integrity {none | write-read-coherent | full}] [--revert-ca-write-integrity] [--mangle-byte-start ［<integer>］] [--revert-mangle-byte-start] [--file-create-mask ［<integer>］] [--revert-file-create-mask] [--create-permissions {"default acl" | "inherit mode bits" | "use create mask and mode"}]

ファイル共有


[--revert-create-permissions] [--mangle-map ［<mangle-map>］] [--revert-mangle-map] [--clear-mangle-map] [--add-mangle-map ［<string>］] [--remove-mangle-map ［<string>］] [--impersonate-user ［<string>］] [--revert-impersonate-user] [--change-notify {all | norecurse | none}' [--revert-change-notify] [--oplocks {yes | no}] [--revert-oplocks] [--allow-delete-readonly {yes | no}] [--revert-allow-delete-readonly] [--directory-create-mode ［<integer>］] [--revert-directory-create-mode] [--ntfs-acl-support {yes | no}] [--revert-ntfs-acl-support] [--file-create-mode ［<integer>］] [--revert-file-create-mode] [--file-filtering-enabled {yes | no}] [--revert-file-filtering-enabled] [--file-filter-type {deny | allow}] [--revert-file-filter-type] [--file-filter-extensions ［<string>］] [--clear-file-filter-extensions] [--add-file-filter-extensions ［<string>］] [--remove-file-filter-extensions ［<string>］] [--revert-file-filter-extensions] [--verbose]


必須項目。変更する SMB共有の名前を指定します。

--name［<name>］SMB共有の名前を指定します。

--path［<path>］SMB共有の/ifs で始まる新しいパスを指定します。

--zone［<string>］SMB共有が割り当てられているアクセスゾーンを指定します。アクセスゾーンが指定されていない場合、デフォルトの System ゾーンに割り当てられている指定した名前の SMB共有が変更されます（見つかった場合）。

--new-zone［<string>］SMB共有が再び割り当てられる新規アクセスゾーンを指定します。

--host-acl［<host-acl>］アクセスを許可されるホストを示す ACL。追加の各ホスト ACL句の--host-acl を指定します。

--revert-host-acl値を--host-acl のシステムデフォルトに設定します。

--clear-host-acl

ファイル共有


アクセスを許可されるホストを示す ACL の値をクリアします。

--add-host-acl［<string>］アクセスを許可されるホストを示す ACL を追加します。追加するホスト ACL句ごとに--add-host-acl を指定します。

--remove-host-acl［<string>］アクセスを許可されるホストを示す ACL を削除します。削除する追加のホスト ACL句ごとに--remove-host-acl を指定します。

--description［<string>］この SMB共有の説明。

--csc-policy, -C {manual | documents | programs | none}

共有のクライアント側キャッシュポリシーを指定します。

--revert-csc-policy値を--csc-policy のシステムデフォルトに設定します。

{--allow-variable-expansion | -a} {yes | no}

ホームディレクトリの変数の自動拡張を許可します。

--revert-allow-variable-expansion値を--allow-variable-expansion のシステムデフォルトに設定します。

{--auto-create-directory | -d} {yes | no}

ホームディレクトリを自動的に作成します。

--revert-auto-create-directory値を--auto-create-directory のシステムデフォルトに設定します。

{--browsable | -b} {yes | no}

共有がネットビューと参照一覧に表示されます。

--revert-browsable値を--browsable のシステムデフォルトに設定します。


ユーザーに、読み取り権を持つファイルの実行を許可します。--revert-allow-execute-always

値を--allow-execute-always のシステムデフォルトに設定します。

--directory-create-mask［<integer>］ディレクトリ作成マスクビットを指定します。

--revert-directory-create-mask値を--directory-create-mask のシステムデフォルトに設定します。


SMB I/O に対してバイト範囲ロックが競合するかどうかを指定します。

--revert-strict-locking値を--strict-locking のシステムデフォルトに設定します。

ファイル共有



ピリオド「.」で始まるファイルとディレクトリを非表示にします。

--revert-hide-dot-files値を--hide-dot-files のシステムデフォルトに設定します。


ユーザーアクセスがゲストアカウントとして実行される条件を指定します。

--revert-impersonate-guest値を--impersonate-guest のシステムデフォルトに設定します。


SMB フラッシュ操作を処理します。

--revert-strict-flush値を--strict-flush のシステムデフォルトに設定します。

--access-based-enumeration {yes | no}

要求元ユーザーがアクセス権を持つファイルとフォルダのみ列挙することを指定します。--revert-access-based-enumeration

値を--access-based-enumeration のシステムデフォルトに設定します。


共有のルートディレクトリでのみアクセスベースの列挙を指定します。

--revert-access-based-enumeration-root-only値を--access-based-enumeration-root-only のシステムデフォルトに設定します。


--revert-ca-timeout値を--ca-timeout のシステムデフォルトに設定します。


yes に設定すると、クライアントがファイルの開かれているが切断されているパーシステントハンドルを持っている場合に、他のクライアントがそのファイルを開けないようにします。no に設定すると、OneFSはパーシステントハンドルを発行しますが、最初に開いたクライアント以外のクライアントがファイルを開こうとすると、それらを破棄します。このオプションは、共有が作成されたときに--continuously-available が yes に設定されている場合にのみ該当します。デフォルトは yes です。

--revert-strict-ca-lockout値を--strict-ca-lockout のシステムデフォルトに設定します。


継続的に利用可能な共有での書き込み整合性のレベルを指定します。

ファイル共有


［none］継続的に利用可能な書き込みは、クラスターへの他の書き込みとは異なる方法で処理されません。［none］を指定した場合にノードに障害が発生すると、通知が送信されずにデータ消失が発生する可能性があります。そのため、このオプションは推奨されません。



--revert-ca-write-integrity値を--ca-write-integrity のシステムデフォルトに設定します。

--mangle-byte-start［<interger>］自動バイトマングルの wchar_t開始点を指定します。

--revert-mangle-byte-start値を--mangle-byte-start のシステムデフォルトに設定します。

--file-create-mask［<integer>］ファイル作成マスクビットを指定します。

--revert-file-create-mask値を--file-create-mask のシステムデフォルトに設定します。


共有内の新しいファイルとディレクトリの作成権限を設定します。--revert-create-permissions

値を--create-permissions のシステムデフォルトに設定します。

--mangle-map［<mangle-map>］文字マングルマップ。追加の各文字マングルマップに--mangle-map を指定します。

--revert-mangle-map値を--mangle-map のシステムデフォルトに設定します。

--clear-mangle-map文字マングルマップの値をクリアします。

--add-mangle-map［<string>］文字マングルマップを追加します。追加の各 Add文字マングルマップに--add-mangle-map を指定します。

--remove-mangle-map［<string>］文字マングルマップを削除します。追加の各 Remove文字マングルマップに--remove-mangle-map を指定します。

ファイル共有


--impersonate-user［<string>］ゲストアカウントとして使用するユーザーアカウント。

--revert-impersonate-user値を--impersonate-user のシステムデフォルトに設定します。

--change-notify {all | norecurse | none}

共有に対する変更通知アラートのレベルを指定します。--revert-change-notify

値を--change-notify のシステムデフォルトに設定します。

--oplocks {yes | no}

oplock をサポートします。

--revert-oplocks--oplocks のシステムデフォルト値を設定します。


共有内の読み取り専用ファイルの削除を許可します。--revert-allow-delete-readonly

--allow-delete-readonly のシステムデフォルト値を設定します。

--directory-create-mode［<integer>］ディレクトリ作成モードビットを指定します。

--revert-directory-create-mode--directory-create-mode のシステムデフォルト値を設定します。


ファイルとディレクトリで NTFS ACL をサポートします。

--revert-ntfs-acl-support--ntfs-acl-support のシステムデフォルト値を設定します。

--file-create-mode［<integer>］ファイル作成モードビットを指定します。

--revert-file-create-mode--file-create-mode のシステムデフォルト値を設定します。



--revert-file-filtering-enabled--file-filtering-enabled のシステムデフォルト値を設定します。



--revert-file-filter-type

ファイル共有


--file-filter-type のシステムデフォルト値を設定します。

--file-filter-extensions［<string>］--file-filter-type の設定に応じて、共有への書き込みを許可または拒否するファイルタイプのリストを指定します。ファイルタイプはコンマ区切り値のリストで指定することができます。

--clear-file-filter-extensions共有のファイルフィルタリング拡張子のリストをクリアします。

--add-file-filter-extensions［<string>］ファイルフィルタリング拡張子のリストにエントリーを追加します。追加するファイル拡張子ごとに繰り返します。

--remove-file-filter-extensions［<string>］ファイルフィルター拡張子のリストからエントリーを削除します。削除するファイル拡張子ごとに繰り返します。

--revert-file-filter-extensions--file-filter-extensions のシステムデフォルト値を設定します。

{--verbose | -v}


isi smb shares permission create

SMB共有の権限を作成します。

構文

isi smb shares permission create ［<share>］ {［<user>］ | --group ［<name>］ | --gid ［<id>］ | --uid ［<id>］ | --sid ［<string>］ | --wellknown ［<string>］} {--run-as-root | --permission-type {allow | deny} --permission {full | change | read}} [--zone ［<zone>］] [--verbose]


SMB共有の名前を指定します。

［<user>］名前でユーザーを指定します。

--group［<name>］名前でグループを指定します。

--gid［<id>］UNIX グループ識別子でグループを指定します。

ファイル共有


--uid［<id>］UNIX ユーザー識別子でユーザーを指定します。

--sid［<string>］Windows セキュリティ識別子でオブジェクトを指定します。

--wellknown［<string>］一般に知られているユーザー、グループ、マシン、アカウント名を指定します。

{--permission-type | -d} {deny | allow}

権限を許可するか拒否するかを指定します。

{--permission | -p} {read | full | change}

許可または拒否する制御のレベルを指定します。

--run-as-root {yes | no}

［yes］に設定すると、アカウントが root として実行されます。デフォルトの設定は［no］です。

--zone［<zone>］アクセスゾーンを指定します。

{--verbose | -v}


isi smb shares permission delete

SMB共有のユーザーまたはグループ権限を削除します。

構文

isi smb shares permission delete ［<share>］ {［<user>］ | --group ［<name>］ |--gid ［<id>］ | --uid ［<id>］ | --sid ［<string>］ | --wellknown ［<string>］} [--zone ［<string>］] [--force] [--verbose]


必須項目。 SMB共有名を指定します。



ファイル共有







{--force | -f}

確認プロンプトなしでコマンドを実行することを指定します。

{--verbose | -v}


isi smb shares permission list

SMB共有の権限の一覧を表示します。

構文

isi smb shares permission list ［<share>］ [--zone ［<zone>］] [--format {table | json | csv | list}] [--no-header] [--no-footer]


表示する SMB共有の名前を指定します。

--zone［<zone>］表示するアクセスゾーンを指定します。



{--no-header | -a}


{--no-footer | -z}

ファイル共有



isi smb shares permission modify

SMB共有の権限を変更します。

構文

isi smb shares permission modify ［<share>］ {［<user>］ | --group ［<name>］ | --gid ［<id>］ | --uid ［<id>］ | --sid ［<string>］ | --wellknown ［<string>］} {--run-as-root | --permission-type {allow | deny} --permission {full | change | read}} [--zone ［<zone>］] [--verbose]









{--permission-type | -d} {deny | allow}

権限を許可するか拒否するかを指定します。

{--permission | -p} {read | full | change}

許可または拒否する制御のレベルを指定します。

--run-as-root {yes | no}

［yes］に設定すると、アカウントが root として実行されます。デフォルトの設定は［no］です。

--zone［<zone>］

ファイル共有


アクセスゾーンを指定します。

{--verbose | -v}


isi smb shares permission view

SMB共有の単一の権限を表示します。

構文

isi smb shares permission view <share> {<user> | --group ［<name>］ | --gid ［<integer>］| --uid ［<integer>］ | --sid ［<string>］| --wellknown ［<string>］} [--zone ［<string>］]

オプション<share>


<user>ユーザー名を指定します。

--group［<name>］グループ名を指定します。

--gid［<integer>］数字から成るグループ識別子を指定します。

--uid［<integer>］数字から成るユーザー識別子を指定します。

--sid［<string>］セキュリティ識別子を指定します。



isi smb shares view

SMB共有に関する情報を表示します。

ファイル共有


構文

isi smb shares view ［<share>］ [--zone ［<string>］]


表示する SMB共有の名前を指定します。

--zone［<string>］SMB共有が割り当てられているアクセスゾーンを指定します。アクセスゾーンが指定されていない場合、デフォルトの System ゾーンに割り当てられている指定した名前の SMB共有が表示されます（見つかった場合）。

NFSOneFSは NFS サーバーを提供するため、クラスター上のファイルを、RFC1813（NFSv3）およびRFC3530（NFSv4）仕様概要に準拠した NFS クライアントと共有できます。OneFS では、NFS サーバーは、カーネルではなくユーザースペースで稼働するマルチスレッドサービスとして完全に最適化されます。このアーキテクチャは、クラスターのすべてのノード間で NFS サービスのロードバランシングを調整し、複数の NFS クライアント間の最大で数千個の接続を管理するために必要な安定性と拡張性を提供します。NFS マウントはすばやく実行およびリフレッシュされ、サーバーは NFS サービスに対する流動的な要求を絶えず監視し、すべてのノードを調整して継続的な信頼できるパフォーマンスを実現します。OneFSは、組み込み型プロセススケジューラを使用してノードリソースの公平なアロケーションを実現し、NFS サービスの公平な共有を超えてリソースを確保するクライアントがないようにします。NFS サーバーは、OneFS で定義されたアクセスゾーンもサポートするため、クライアントはゾーンに適したエクスポートのみにアクセスできます。たとえば、NFS エクスポートがゾーン 2 で指定されている場合は、ゾーン 2 に割り当てられたクライアントのみがこれらのエクスポートにアクセスできます。大きなパス名でのエクスポートでは特に、クライアント接続を単純化するために、NFS サーバーはエイリアスもサポートします。これは、クライアントが直接指定できるマウントポイントへのショートカットです。安全な NFS ファイル共有のために、OneFS では NIS および LDAP認証プロバイダーがサポートされます。

NFS エクスポートNFS クライアントで使用可能なマウントポイント（パス）を定義する個々の NFS エクスポートルールと、これらのクライアントでのサーバーの動作を管理できます。OneFS では、NFS エクスポートを作成、削除、一覧表示、表示、変更、再ロードできます。NFS エクスポートルールはゾーン対応です。ゾーンに関連づけられた各エクスポートは、そのゾーン上のクライアントによってのみマウントでき、ゾーンルート下のパスのみ公開できます。デフォルトでは、エクスポートコマンドはクライアントの現在のゾーンに適用されます。各ルールには、少なくとも 1 つのパス（マウントポイント）が必要で、追加のパスを含めることができます。特定の 1 つまたは複数のパスのすべてのサブディレクトリがマウント可能であることも指定できます。そうしない場合は、指定したパスのみエクスポートされ、子ディレクトリはマウントできません。

ファイル共有

NFS 487

エクスポートルールでは、特定のクライアントセットを指定でき、アクセスを特定のマウントポイントに制限したり、これらのクライアントに一意のオプションセットを適用したりできます。ルールでクライアントを指定しない場合、ルールはサーバーに接続するすべてのクライアントに適用されます。ルールでクライアントを指定した場合、そのルールはそれらのクライアントにのみ適用されます。

NFS エイリアスOneFS で、ディレクトリパス名のショートカットとしてのエイリアスを作成および管理できます。これらのパス名が NFS エクスポートとして定義されている場合、NFS クライアントではエイリアスを NFS マウントポイントとして指定できます。NFS エイリアスは、NFS のコンテキストで SMB共有名を使用した機能パリティを付与するように設計されています。各エイリアスは、ファイルシステム上のパスに一意の名前をマップします。NFS クライアントは、マウント時にパスの代わりにエイリアス名を使用できます。エイリアスは、単一のスラッシュに名前が続く、最上位レベルの UNIXパス名として書式設定する必要があります。たとえば、/q4 という名前のエイリアス（OneFS内のパス/ifs/data/finance/accounting/winter2015 にマップされる）を作成できます。NFS クライアントは、次のいずれかを通じてそのディレクトリをマウントできます。

mount cluster_ip:/q4

mount cluster_ip:/ifs/data/finance/accounting/winter2015

エイリアスとエクスポートは完全に独立しています。NFS エクスポートに関連づけることなく、エイリアスを作成できます。同様に、NFS エクスポートにはエイリアスは不要です。各エイリアスは、ファイルシステム上の有効なパスを指す必要があります。このパスが絶対パスの場合は、ゾーンルート（System ゾーンの/ifs）の下の場所を指す必要があります。エイリアスが、ファイルシステムに存在しないパスを指す場合、エイリアスをマウントしようとしているクライアントは、無効なフルパス名をマウントしようとした場合と同じように拒否されます。NFS エイリアスはゾーン対応です。デフォルトでは、エイリアスはクライアントの現在のアクセスゾーンに適用されます。これを変更するには、エイリアスの作成または変更の一環として代替アクセスゾーンを指定できます。各エイリアスは、そのゾーン上のクライアントによってのみ使用でき、ゾーンルート下のパスにのみ適用できます。エイリアス名はゾーンごとに一意ですが、/home のように、異なるゾーンでは同じ名前を使用できます。Web管理インターフェイスにエイリアスを作成する場合、エイリアスリストにはエイリアスのステータスが表示されます。同様に、isi nfs aliases コマンドの--check オプションを使用して、NFS エイリアスのステータスをチェックできます（ステータスは、good、illegal path、name conflict、not exported、path not found のいずれかになります）。

NFS ログファイルOneFS では、NFS イベントに関連づけられているログメッセージが/var/log内のファイルのセットに書き込まれます。ログレベルオプションでは、ログファイルに出力されるログメッセージの詳細レベルを指定できるようになりました。次の表に、NFS に関連づけられているログファイルの説明を示します。

ログファイル説明

nfs.log プライマリ NFS サーバー機能（v3、v4、マウント）

ファイル共有


ログファイル説明

rpc_lockd.log NLM プロトコルを通じた NFS v3 のロックイベント

rpc_statd.log NSM プロトコルを通じた NFS v3再起動検出

isi_netgroup_d.log ネットグループの解決とキャッシュ

NFS サービスの管理NFS サービスを有効または無効にしたり、サポートする NFS のバージョン（NFSv3 および NFSv4など）を指定したりできます。NFS の設定はクラスタ内のすべてのノードに適用されます。

OneFS クラスタでは NFSv4 を無停止で有効化でき、NFSv4は NFSv3 と並行して実行されます。NFSv4 の有効化により、既存の NFSv3 クライアントが影響を受けることはありません。

NFS設定の表示クラスター内のすべてのノードに適用されるグローバル NFS の設定を表示できます。

手順l isi nfs settings global view コマンドを実行します。


NFSv3 Enabled: Yes NFSv4 Enabled: No NFS Service Enabled: Yes

NFS ファイル共有の構成NFS サービスを有効化または無効化し、ロック保護レベルとセキュリティタイプを設定できます。これらの設定はクラスター内のすべてのノードに適用されます。ユーザーが定義する個々の NFS エクスポートの設定を変更できます。手順l isi nfs settings global modify コマンドを実行します。

次のコマンドを実行すると、NFSv4 サポートが有効化されます。

isi nfs settings global modify --nfsv4-enabled=yes

NFS サービスの有効化または無効化OneFS では、NFS サービスはデフォルトで有効化されます。NFSv4 を有効化することもできます。

isi nfs settings global view コマンドを実行して、NFS サービスが有効か無効かを確認できます。

手順l isi nfs settings global modify コマンドを実行します。

ファイル共有

NFS サービスの管理 489

次のコマンドを実行すると、NFSv3 サービスが無効化されます。

isi nfs settings global modify --nfsv3-enabled=no

次のコマンドを実行すると、NFSv4 サービスが有効化されます。

isi nfs settings global modify --nfsv4-enabled=yes

NFS エクスポートの管理NFS エクスポートの作成、エクスポート設定の表示および変更、不要になった NFS エクスポートの削除を行うことができます。/ifs ディレクトリは OneFS のデータストレージの最上位レベルディレクトリであり、デフォルトのエクスポートで定義されたパスでもあります。デフォルトでは、/ifs エクスポートはルートアクセスを禁止しますが、他のエクスポートでは UNIX クライアントがこのディレクトリおよびその下の任意のサブディレクトリをマウントできます。

デフォルトのエクスポートを変更して、アクセスを信頼されているクライアントに制限するか、アクセスを完全に制限することをお勧めします。機密データが危険にさらされないように、作成する他のエクスポートは OneFS ファイル階層の下位に置く必要があり、必要に応じて、アクセスゾーンで保護するか、root、read-write、または read-only アクセスで特定のクライアントに制限することができます。

デフォルトの NFS エクスポート設定の構成デフォルトの NFS エクスポート設定は、新しい NFS エクスポートに適用されます。エクスポートを作成または変更するとき、これらの設定を上書きできます。現在のデフォルトのエクスポート設定を表示するには、isi nfs settings export viewコマンドを実行します。

結果が確実でない限り、デフォルトのエクスポート設定は変更しないことをお勧めします。

手順l isi nfs settings export modify コマンドを実行します。

次のコマンドは、1 テラバイトの最大エクスポートファイルサイズを指定します。

isi nfs settings export modify --max-file-size 1099511627776

次のコマンドは、最大エクスポートファイルサイズをシステムのデフォルトに復元します。

isi nfs settings export modify --revert-max-file-size

ファイル共有


エクスポート用の root-squashing ルールの作成デフォルトでは、NFS サービスにはデフォルト NFS エクスポート用の root squash ルールが導入されています。これにより、NFS クライアントの root ユーザーが NFS サーバーに対して root権限を行使するのを防止できます。OneFS では、デフォルトの NFS エクスポートは、クラスターデータが格納される最上位レベルディレクトリである/ifs です。手順

1. isi nfs exports view コマンドを使用して、デフォルトエクスポートの現在の設定を表示します。次のコマンドを実行すると、デフォルトエクスポートの設定が表示されます。

isi nfs exports view 1

2. これらの設定について次のデフォルト値を確認します。root が nobody にマップされているため root アクセスが制限されることが示されています。

Map Root Enabled: True User: Nobody Primary Group: -Secondary Groups: -

3. なんらかの理由で root-squashing ルールの効果がない場合は、isi nfs exportmodify コマンドを次のように実行してデフォルト NFS エクスポートに対して実装できます。

isi nfs exports modify 1 --map-root-enabled true --map-root nobody

結果これらの設定により、NSF クライアントでのユーザーの認証情報にかかわらず、ユーザーが NFS サーバーで root権限を行使することができなくなります。

NFS エクスポートの作成UNIX ベースのクライアントを使用して OneFS でファイルを共有する NFS エクスポートを作成できます。はじめにエクスポートに指定する各ディレクトリパスは、/ifs ディレクトリツリーにすでに存在している必要があります。複数のエクスポートに同じ明示的なクライアントがない場合は、ディレクトリパスをこれらのエクスポートで使用できます。NFS サービスがユーザースペースで実行され、クラスター内のすべてのノードに負荷を分散します。これにより、サービスの拡張性が向上し、大量のエクスポートをサポートできるようになります。ただし、ベストプラクティスとして、クライアントごとに別個のエクスポートをネットワークに作成することは避けてください。少数のエクスポートを作成し、アクセスゾーンとユーザーマッピングを使用してアクセスを制御するほうが効率的です。手順

1. isi nfs exports create コマンドを実行します。

ファイル共有

NFS エクスポートの管理 491

次のコマンドを実行すると、複数パスとそのサブディレクトリへのクライアントアクセスをサポートするエクスポートが作成されます。

isi nfs exports create /ifs/data/projects,/ifs/home --all-dirs=yes

2. (オプション) エクスポートの変更または削除に必要なエクスポート ID を表示するには、isinfs exports list コマンドを実行します。

NFS エクスポートのエラーのチェック競合するエクスポートルール、無効なパス、解決できないホスト名やネットグループなど、NFS エクスポートのエラーをチェックできます。このタスクは、OneFS コマンドラインインターフェイスからのみ実行できます。手順

1. クラスター内の任意のノードへの SSH接続を確立します。2. isi nfs exports check コマンドを実行します。

次の出力例では、エラーが見つかりませんでした。

ID Message--------------------Total: 0

次の出力例では、エクスポート 1 に現在存在しないディレクトリパスが含まれています。

ID Message-----------------------------------1 '/ifs/test' does not exist-----------------------------------Total: 1

NFS エクスポートの変更既存の NFS エクスポートの設定を変更できます。

エクスポートの設定を変更すると、パフォーマンスに問題が生じる可能性があります。変更をコミットする前に、設定の変更の潜在的な影響について理解しておく必要があります。

手順1. isi nfs exports modify コマンドを実行します。たとえば、次のコマンドを実行すると、NFS エクスポート 2 への読み取り/書き込みアクセス権を持つクライアントが追加されます。

isi nfs exports modify 2 --add-read-write-clients 10.1.249.137

このコマンドは、競合がある場合にエクスポートのアクセス制限設定をオーバーライドします。たとえば、エクスポートが読み取り/書き込みアクセスを無効化して作成された場合も、クライアント 10.1.249.137はエクスポートに対する読み取り/書き込み権限を持ちます。

ファイル共有


NFS エクスポートの削除不要な NFS エクスポートを削除できます。これらのエクスポートに対する現在の NFS クライアントの接続はすべて無効になります。はじめにエクスポートを削除するにはエクスポート ID番号が必要です。エクスポートとその ID番号のリストを表示するには、isi nfs exports list コマンドを実行します。手順

1. isi nfs exports delete コマンドを実行します。次の例では、このコマンドを実行して ID が 2 のエクスポートを削除します。

isi nfs exports delete 2

次の例では、isi nfs exports delete を実行して ID が 3 のエクスポートを確認プロンプトなしで削除します。--force オプションを使用する場合は注意してください。

isi nfs exports delete 3 --force

2. --force オプションを指定しなかった場合は、確認プロンプトに yes と入力します。

NFS エイリアスの管理NFS エイリアスを作成して、クライアントが接続するエクスポートを簡略化できます。NFS エイリアスは、絶対ディレクトリパスを単純ディレクトリパスにマップします。たとえば、/ifs/data/hq/home/archive/first-quarter/finance への NFS エクスポートを作成したとします。エイリアス/finance1 を作成して、そのディレクトリパスにマップできます。NFS エイリアスは、システムゾーンを含む任意のアクセスゾーンに作成できます。

NFS エイリアスの作成NFS エイリアスを作成して、長いディレクトリパスを単純なパス名にマップできます。

エイリアスの形式は、/home のような単純な UNIX スタイルのディレクトリパスとして指定する必要があります。手順

1. isi nfs aliases create コマンドを実行します。次のコマンドを実行すると、hq-home という名前のアクセスゾーンにある OneFS のフルパス名へのエイリアスが作成されます。

isi nfs aliases create /home /ifs/data/offices/hq/home --zone hq-home

NFS エイリアスを作成すると、OneFSはヘルスチェックを実行します。たとえば、指定したフルパスが有効なパスでない場合、OneFSは警告を発行します。

Warning: health check on alias '/home' returned 'path not found'

ファイル共有

NFS エイリアスの管理 493

ただし、エイリアスは作成されるので、エイリアスが指すディレクトリを後で作成できます。

NFS エイリアスの変更たとえば、エクスポートディレクトリパスが変更された場合に、NFS エイリアスを変更できます。

エイリアスの形式は、/home のような単純な UNIX スタイルのディレクトリパスとして指定する必要があります。手順

1. isi nfs aliases modify コマンドを実行します。次のコマンドを実行すると、アクセスゾーン hq-home のエイリアスの名前が変更されます。

isi nfs aliases modify /home --zone hq-home --name /home1

NFS エイリアスを変更すると、OneFSはヘルスチェックを実行します。たとえば、エイリアスへのパスが有効でない場合、OneFSは警告を発行します。

Warning: health check on alias '/home' returned 'not exported'

ただし、エイリアスは変更されるので、後でエクスポートを作成できます。

NFS エイリアスの削除NFS エイリアスを削除できます。

NFS エイリアスが NFS エクスポートにマップされている場合、エイリアスを削除すると、エクスポートへの接続にエイリアスを使用していたクライアントが切断されることがあります。手順

1. isi nfs aliases delete コマンドを実行します。次のコマンドを実行すると、hq-home という名前のアクセスゾーン内のエイリアス/home が削除されます。

isi nfs aliases delete /home --zone hq-home

NFS エイリアスを削除すると、OneFS によって操作の確認を求められます。

Are you sure you want to delete NFS alias /home? (yes/[no])

2. yes と入力し、Enter キーを押します。

エイリアスの名前を間違って入力したなどのエラー条件が見つからない限り、エイリアスが削除されます。

NFS エイリアスの一覧表示特定のゾーンに対してすでに定義されている NFS エイリアスのリストを表示できます。デフォルトではシステムゾーンのエイリアスの一覧が表示されます。手順

1. isi nfs aliases list コマンドを実行します。

ファイル共有


次の例では、コマンドを実行すると、システムゾーン（デフォルト）に作成されたエイリアスがリストされます。

isi nfs aliases list

次の例では、isi nfs aliases list を実行すると、hq-home という名前のアクセスゾーンに作成されたエイリアスがリストされます。

isi nfs aliases list --zone hq-home

isi nfs aliases list からの出力は、次の例のようになります。

Zone Name Path -------------------------------------------------hq-home /home /ifs/data/offices/newyorkhq-home /root_alias /ifs/data/officeshq-home /project /ifs/data/offices/project-------------------------------------------------Total: 3

NFS エイリアスの表示指定したアクセスゾーンの NFS エイリアスの設定を表示できます。手順

1. isi nfs aliases view コマンドを実行します。次のコマンドを実行すると、エイリアスの稼働状態など、アクセスゾーン hq-home のエイリアスに関する情報が提供されます。

isi nfs aliases view /projects --zone hq-home --check

コマンドからの出力は、次の例のようになります。

Zone Name Path Health--------------------------------------------------------hq-home /projects /ifs/data/offices/project good--------------------------------------------------------Total: 1

NFS コマンドNFS コマンドを使用すると、NFS ファイル共有サービスにアクセスして構成できます。

isi nfs aliases create

NFS エイリアスを作成します。

構文

isi nfs aliases create ［<name>］［<path>］ [--zone ［<string>］] [--force] [--verbose]

ファイル共有

NFS コマンド 495


エイリアスの名前。エイリアス名は、単一のスラッシュに名前が続く UNIX ルートディレクトリとして書式設定する必要があります。例：/home

［<path>］エイリアスのリンク先の OneFS ディレクトリパス名。パス名は、アクセスゾーンのルートの下の絶対パスである必要があります。例：/ifs/data/ugroup1/home

--zoneエイリアスがアクティブなアクセスゾーン。

{--force | -f}

確認を要求せずに、エイリアスを強制的に作成します。

{--verbose | -v}


例次のコマンドを実行すると、ugroup1 という名前のゾーンにエイリアスが作成されます。

isi nfs aliases create /home /ifs/data/ugroup1/home --zone ugroup1

isi nfs aliases delete

NFS エイリアスを削除します。

構文

isi nfs aliases delete ［<name>］ [--zone ［<string>］] [--force] [--verbose]


削除するエイリアスの名前。

--zone［<string>］エイリアスがアクティブなアクセスゾーン。

{--force | -f}

確認を要求せずに、エイリアスを強制的に削除します。

{--verbose | -v}


ファイル共有


例次のコマンドを実行すると、ugroup1 という名前のゾーンからエイリアスが削除されます。

isi nfs aliases delete /projects --zone ugroup1

isi nfs aliases list

現在のアクセスゾーンで使用可能な NFS エイリアスをリストします。

構文

isi nfs aliases list[--check][--zone ［<string>］][--limit ［<integer>］][--sort {zone | name | path | health][--descending][--format {table | json | csv | list}][--no-header][--no-footer]

オプション--check

現在のゾーンについて、エイリアスのリストとその正常稼働ステータスを表示します。


{--limit | -l} ［<integer>］指定された数以下の NFS エイリアスを表示します。

--sort {zone | name | path | health}

ソートするフィールドを指定します。

{--descending | -d}

データを降順にソートすることを指定します。



{--no-header | -a}


{--no-footer | -z}


ファイル共有


例次のコマンドを実行すると、正常稼働ステータスを含む、ugroup1 というゾーン内のエイリアスの表が表示されます。

isi nfs aliases list --zone ugroup1 --check

コマンドからの出力は、次の例のようになります。

Zone Name Path Health --------------------------------------------------------ugroup1 /home /ifs/data/offices/newyork goodugroup1 /root_alias /ifs/data/offices goodugroup1 /project /ifs/data/offices/project good--------------------------------------------------------Total: 3

isi nfs aliases modify

エイリアスの名前、ゾーン、絶対パスを変更します。

構文

isi nfs aliases modify ［<alias>］ [--zone ［<string>］] [--new-zone ［<string>］] [--name ［<string>］] [--path ［<path>］] [--force] [--verbose]

オプション［<alias>］

エイリアスの現在の名前。たとえば/homeなどです。

--zone［<string>］エイリアスが現在アクティブなアクセスゾーン。

--new-zone［<string>］エイリアスがアクティブになる新しいアクセスゾーン。

--name［<string>］エイリアスの新しい名前。

--path［<path>］エイリアスがリンクする必要のある新しい OneFS ディレクトリパス名。パス名は、アクセスゾーンのルートの下の絶対パスである必要があります。例：/ifs/data/ugroup2/home

{--force | -f}

確認を要求せずに、エイリアスを強制的に変更します。

{--verbose | -v}


ファイル共有


例次のコマンドを実行すると、既存のエイリアスのゾーン、名前、パスが変更されます。

isi nfs aliases modify /home --name /users --zone ugroup1 --new-zone ugroup2--path /ifs/data/ugroup2/users

isi nfs aliases view

現在のゾーン内のエイリアスに関する情報を表示します。

構文

isi nfs aliases view ［<name>］[--zone ［<string>］][--check]


エイリアスの名前。


--checkエイリアスの正常稼働ステータスを含みます。

例次のコマンドを実行すると、正常稼働ステータスを含む、現在のゾーン内の/projects という名前のエイリアスの情報の表が表示されます。

isi nfs aliases view /projects --check

isi nfs exports check

競合するエクスポートルール、不正なパス、解決不能なホスト名、解決不能なネットグループなど、NFS エクスポートの構成エラーをチェックします。

構文

isi nfs exports check[--limit ［<integer>］][--zone ［<string>］[--format {table | json | csv | list}][--no-header][--no-footer][--ignore-unresolvable-hosts][--ignore-bad-paths][--ignore-bad-auth][--verbose]


ファイル共有


指定された NFS エクスポート数のみを表示します。

--zone［<string>］エクスポートが作成されたアクセスゾーンを指定します。

[--format {table | json | csv | list}


{--no-header | -a}


{--no-footer | -z}


--ignore-unresolvale-hostsエクスポートの作成または変更時に、解決不可能なホストにエラー状態は存在しません。

--ignore-bad-pathsエクスポートの作成または変更時に、不正なパスにエラー状態は存在しません。

--ignore-bad-authエクスポートの作成または変更時に、マッピングオプションの不正な認証を無視します。

{--verbose | -v}


例次のコマンドは、Zone-1 という名前のゾーン内のエクスポートをチェックします。

isi nfs exports check --zone Zone-1

チェックで問題が見つからなかった場合は、空の表が返されます。一方、チェックで問題が見つかった場合は、次のような表示が返されます。

ID Message ---------------------------------------3 '/ifs/data/project' does not exist---------------------------------------Total: 1

isi nfs exports create

NFS エクスポートを作成します。

エクスポートを作成するときに適用されるデフォルトの NFS エクスポート設定を表示するには、isinfs settings export view コマンドを使用します。

ファイル共有


構文

isi nfs exports create ［<paths>］ [--block-size ［<size>］] [--can-set-time {yes | no}] [--case-insensitive {yes | no}] [--case-preserving {yes | no}] [--chown-restricted {yes | no}] [--directory-transfer-size ［<size>］] [--link-max ［<integer>］] [--max-file-size ［<size>］] [--name-max-size ［<integer>］] [--no-truncate {yes | no}] [--return-32bit-file-ids {yes | no}] [--symlinks {yes | no}] [--zone ［<string>］] [--clients ［<client>］] [--description ［<string>］] [--root-clients ［<client>］] [--read-write-clients ［<client>］] [--read-only-clients ［<client>］] [--all-dirs {yes | no}] [--encoding ［<string>］] [--security-flavors {unix | krb5 | krb5i | krb5p}] [--snapshot ［<snapshot>］] [--map-lookup-uid {yes | no}] [--map-retry {yes | no}] [--map-root-enabled {yes | no}] [--map-non-root-enabled {yes | no}] [--map-failure-enabled {yes | no}] [--map-all ［<identity>］] [--map-root ［<identity>］] [--map-non-root ［<identity>］] [--map-failure ［<identity>］] [--map-full {yes | no}] [--commit-asynchronous {yes | no}] [--read-only {yes | no}] [--readdirplus {yes | no}] [--read-transfer-max-size ［<size>］] [--read-transfer-multiple ［<integer>］] [--read-transfer-size ［<size>］] [--setattr-asynchronous {yes | no}] [--time-delta ［<time delta>］] [--write-datasync-action {datasync | filesync |unstable}] [--write-datasync-reply {datasync | filesync}] [--write-filesync-action {datasync | filesync |unstable}] [--write-filesync-reply filesync] [--write-unstable-action {datasync | filesync |unstable}] [--write-unstable-reply {datasync | filesync |unstable}] [--write-transfer-max-size ［<size>］] [--write-transfer-multiple ［<integer>］] [--write-transfer-size ［<size>］] [--ignore-unresolvable-hosts] [--ignore-bad-paths] [--ignore-bad-auth] [--ignore-conflicts] [--force] [--verbose]

オプション［<paths>］ ...

ファイル共有


必須項目。/ifs から開始する、エクスポートするパスを指定します。このオプションを繰り返して、複数パスを指定できます。

--block-size［<size>］ブロック長（バイト単位）を指定します。

--can-set-time {yes | no}

yes に設定すると、エクスポートで時刻を設定できます。デフォルトの設定は no です。--case-insensitive {yes | no}

yes に設定されている場合、サーバーはファイル名の大文字と小文字の区別を無視することをレポートします。デフォルトの設定は no です。

--case-preserving {yes | no}

yes に設定されている場合、サーバーはファイル名の大文字と小文字の区別を常に保持することをレポートします。デフォルトの設定は no です。

--chown-restricted {yes | no}

yes に設定されている場合、サーバーはスーパーユーザーのみがファイル所有権を変更できることをレポートします。デフォルトの設定は no です。

--directory-transfer-size［<size>］優先ディレクトリ転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KB には K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b で、初期のデフォルト値は 128K です。

--link-max［<integer>］レポートされるファイルへのリンクの最大数です。

--max-file-size［<size>］サーバー上で許可される最大のファイルサイズを指定します（バイト単位）。ファイルが指定した値より大きい場合、エラーが返されます。

--name-max-size［<integer>］レポートされるファイル名の文字列の最大レングスです。

--no-truncate {yes | no}

yes に設定されている場合、長すぎるファイル名はトランケートされずにエラーになります。--return-32bit-file-ids {yes | no}

NFSv3 と NFSv4 に適用されます。yes に設定した場合、readdir から返されるファイル識別子のサイズを 32 ビット値に制限します。デフォルト値は no です。

この設定は、古い NFS クライアントと下位互換性を持たせるために提供されています。必要がない限り、有効にしないでください。

--symlinks {yes | no}

yes に設定すると、symlink のサポートを通知します。デフォルトの設定は no です。

--zone［<string>］

ファイル共有


エクスポートを適用する必要のあるアクセスゾーン。デフォルトのゾーンは system です。

--clients［<client>］このエクスポートを介してアクセスが許可されるクライアントを指定します。クライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。このオプションを繰り返すことにより、複数のクライアントを追加できます。

このオプションは、クライアントのリスト全体をリプレースします。クライアントをリストに追加またはリストから除去するには、--add-clients または--remove-clients を指定します。

--description［<string>］この NFS エクスポートの説明。

--root-clients［<client>］特定のクライアントの root ユーザーにクラスターの root ユーザーとして操作することを許可します。指定したクラスターについてこのオプションは、--map-all および--map-root オプションを上書きします。クライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。複数のクライアントをコンマ区切りリストで指定します。

--read-write-clients［<client>］このエクスポートに指定したクライアントに読み取り/書き込み権限を付与します。このオプションは、指定したクライアントの--read-only オプションを上書きします。クライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。複数のクライアントをコンマ区切りリストで指定します。

--read-only-clients［<client>］このエクスポートについて指定したクライアントを読み取り専用にします。このオプションは、指定したクライアントの--read-only オプションを上書きします。クライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。複数のクライアントをコンマ区切りリストで指定します。

--all-dirs {yes | no}

yes に設定すると、このエクスポートはすべてのディレクトリをカバーします。デフォルトの設定はno です。

--encoding［<string>］この NFS エクスポートを使用して接続するクライアントの文字エンコードを指定します。次の表に、有効な値と文字エンコーディングを示します。これらの値は、ノードの/etc/encodings.xml ファイルから取得され、大文字と小文字は区別されません。値エンコード

cp932 Windows-SJIS

cp949 Windows-949

cp1252 Windows-1252

euc-kr EUC-KR

euc-jp EUC-JP

euc-jp-ms EUC-JP-MS

ファイル共有


値エンコード

utf-8-mac UTF-8-MAC

utf-8 UTF-8

iso-8859-1 ISO-8859-1（Latin-1）

iso-8859-2 ISO-8859-2（Latin-2）

iso-8859-3 ISO-8859-3（Latin-3）

iso-8859-4 ISO-8859-4（Latin-4）

iso-8859-5 ISO-8859-5（キリル文字）

iso-8859-6 ISO-8859-6（アラビア語）

iso-8859-7 ISO-8859-7（ギリシャ語）

iso-8859-8 ISO-8859-8（ヘブライ語）

iso-8859-9 ISO-8859-9（Latin-5）

iso-8859-10 ISO-8859-10（Latin-6）

iso-8859-13 ISO-8859-13（Latin-7）

iso-8859- 14 ISO-8859-14（Latin-8）

iso-8859-15 ISO-8859-15（Latin-9）

iso-8859-16 ISO-8859-16（Latin-10）

--security-flavors {unix | krb5 | krb5i | krb5p}

サポートするセキュリティの種類を指定します。複数のセキュリティの種類をサポートするには、追加の各エントリーについてこのオプションを繰り返します。次の値が有効です。［unix］

UNIX（システム）認証。

［krb5］Kerberos V5認証。

［krb5i］完全性による Kerberos V5認証。

［krb5p］プライバシー Kerberos V5認証。

--snapshot {［<snapshot>］ | ［<snapshot-alias>］}エクスポートするスナップショットの ID またはスナップショットエイリアスを指定します。このオプションを指定すると、指定されたスナップショットまたは指定されたスナップショットエイリアスに参照されたスナップショットのいずれかにキャプチャされた状態でディレクトリがエクスポートされます。スナップショットがエクスポートされたパスをキャプチャしない場合、ユーザーはエクスポートにアクセスできません。スナップショットエイリアスを指定し、後にエイリアスが新しいスナップショットを参照するように変更された場合、新しいスナップショットがエクスポートに自動的に適用されます。

ファイル共有


スナップショットは読み取り専用のため、クライアントは、ファイルシステムのライブバージョンを参照するスナップショットエイリアスの ID を指定しない限り、エクスポートを介してデータを変更できません。スナップショットまたはスナップショットエイリアスの ID または名前として、［<snapshot>］または［<snapshot-alias>］を指定します。

--map-lookup-uid {yes | no}

yes に設定すると、入力 UNIX ユーザー識別子（UID）がローカルに検索されます。デフォルトの設定は no です。

--map-retry {yes | no}

yes に設定すると、システムは失敗したユーザーマッピング検索を再試行します。デフォルトの設定は no です。

--map-root-enabled {yes | no}

着信 root ユーザーの特定のアカウントへのマッピングを有効化/無効化します。

--map-non-root-enabled {yes | no}

root以外の着信ユーザーの特定のアカウントへのマッピングを有効化/無効化します。

--map-failure-enabled {yes | no}

認証検索に失敗した後の特定のアカウントへのユーザーのマッピングを有効化/無効化します。

--map-all［<identity>］すべてのユーザーによる操作の実行に使用されるデフォルトの ID を指定します。このオプションが root に設定されていない場合、クライアントを--root-clients に含めることで特定のクライアントの root ユーザーにクラスターの root ユーザーとして操作することを許可できます。

--map-root［<identity>］着信 root ユーザーを特定のユーザーまたはグループ ID、あるいはその両方にマップします。

--map-non-root［<identity>］root以外の着信ユーザーを特定のユーザー ID またはグループ ID、あるいはその両方にマップします。

--map-failure［<identity>］認証試行の失敗後に、ユーザーを特定のユーザー ID またはグループ ID、あるいはその両方にマップします。

--map-full {yes | no}

ユーザーが--map-rootや--map-allなどのエクスポートオプションで指定されている場合に、ユーザーマッピングの実行方法を決定します。有効化されている場合、ユーザーマッピングは OneFS ユーザーデータベースをクエリーし、ローカル認証や Active Directoryなどの該当する認証サブシステムからユーザーを取得します。無効化されている場合は、ローカル認証のみクエリーされます。デフォルトの設定は yes です。

--commit-asynchronous {yes | no}

yes に設定すると、データコミット操作を非同期に実行できます。デフォルトの設定は no です。

ファイル共有


--read-only {yes | no}

エクスポートにアクセスするすべてのクライアントのデフォルトの権限を決定します。yes に設定すると、クライアントを--read-write-clients リストに含めることで読み取り/書き込み権限を特定のクライアントに付与できます。no に設定すると、クライアントを--read-only-clients リストに含めることで特定のクライアントを読み取り専用にできます。デフォルトの設定は no です。

--readdirplus {yes | no}

NFSv3 だけに適用されます。yes に設定すると、readdir-plus要求の処理が有効になります。デフォルトの設定は yes です。

--read-transfer-max-size［<size>］NFSv3 と NFSv4 クライアントにレポートする最大読み取り転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KBには K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b で、初期のデフォルト値は 1M です。

--read-transfer-multiple［<integer>］NFSv3 と NFSv4 クライアントにレポートする推奨の複数読み取りサイズを指定します。有効な値は 0～4294967295 です。初期デフォルト値は 512 です。

--read-transfer-size［<size>］NFSv3 と NFSv4 クライアントにレポートする優先読み取り転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KBには K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b、または--read-transfer-max-size がより小さい値に設定されている場合はより小さい値になります。初期のデフォルト値は 128K です。

--setattr-asynchronous {yes | no}

yes に設定すると、属性設定操作が非同期に実行されます。デフォルトの設定は no です。

--time-delta［<float>］サーバー時間粒度を指定します（秒単位）。

--write-datasync-action {datasync | filesync | unstable}

NFSv3 と NFSv4 だけに適用されます。代替の datasync write メソッドを指定します。次の値が有効です。l ［datasync］l ［filesync］l ［unstable］デフォルト値は datasync で、指定された要求を実行します。

--write-datasync-reply {datasync | filesync}

NFSv3 と NFSv4 だけに適用されます。代替の datasync reply メソッドを指定します。次の値が有効です。l ［datasync］l ［filesync］デフォルト値は datasync（異なる応答をしない）です。

--write-filesync-action {datasync | filesync | unstable}

ファイル共有


NFSv3 と NFSv4 だけに適用されます。代替の filesync write メソッドを指定します。次の値が有効です。l

l

［datasync］［filesync］

l ［unstable］デフォルト値は filesync で、指定された要求を実行します。

--write-filesync-reply {filesync}

NFSv3 と NFSv4 だけに適用されます。代替の filesync reply メソッドを指定します。有効な値は filesync だけです（異なる応答をしない）。

--write-unstable-action {datasync | filesync | unstable}

代替の unstable-write メソッドを指定します。次の値が有効です。l ［datasync］l ［filesync］l ［unstable］デフォルト値は unstable で、指定された要求を実行します。

--write-unstable-reply {datasync | filesync | unstable}

代替の unstable-reply メソッドを指定します。次の値が有効です。l ［datasync］l ［filesync］l ［unstable］デフォルト値は unstable（異なる応答をしない）です。

--write-transfer-max-size［<size>］NFSv3 および NFSv4 クライアントにレポートする推奨の最大書き込み転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KB には K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b で、初期のデフォルト値は 1M です。

--write-transfer-multiple［<integer>］NFSv3 と NFSv4 クライアントにレポートする推奨の書き込み転送乗数を指定します。有効な値は 0～4294967295 です。初期デフォルト値は 512 です。

--write-transfer-size［<size>］NFSv3 および NFSv4 クライアントにレポートする推奨書き込み転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトにはb、KB には K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b、または--write-transfer-max-size がより小さい値に設定されている場合はより小さい値になります。初期のデフォルト値は 512Kです。



ファイル共有



--ignore-conflicts新規または変更されたエクスポートと既存の構成の間の競合を無視します。

{--force | -f}

no（デフォルト）に設定すると、コマンドの実行時に確認プロンプトが表示されます。yes に設定すると、確認プロンプトなしでコマンドが実行されます。

{--verbose | -v}


例次のコマンドを実行すると、特定のゾーンおよびクライアントのセットに対して NFS エクスポートが作成されます。

isi nfs exports create /ifs/data/ugroup1/home--description 'Access to home dirs for user group 1'--zone ugroup1 --clients 10.1.28.1 --clients 10.1.28.2

次のコマンドを実行すると、複数のディレクトリパスがあるカスタムセキュリティタイプ（Kerberos 5）の NFS エクスポートが作成されます。

isi nfs exports create /ifs/data/projects /ifs/data/templates--security-flavors krb5

isi nfs exports delete

NFS エクスポートを削除します。

構文

isi nfs exports delete ［<id>］[--zone ［<string>］][--force][--verbose]


削除する NFS エクスポートの ID を指定します。isi nfs exports list コマンドを使用して、現在のゾーン内のエクスポートとその ID のリストを表示できます。

--zone［<string>］エクスポートが作成されたアクセスゾーンを指定します。デフォルトは現在のゾーンです。

{--force | -f}


{--verbose | -v}


ファイル共有


isi nfs exports list

NFS エクスポートの一覧を表示します。

構文

isi nfs exports list[--zone ［<string>］[--limit ［<integer>］][--sort ［<field>］][--descending][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]


エクスポートが作成されたアクセスゾーンの名前を指定します。

{--limit | -l} ［<integer>］指定された NFS エクスポート数のみを表示します。

--sort［<field>］ソートするフィールドを指定します。有効な値は、以下のとおりです。l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

［id］［zone］［paths］［description］［clients］［root_clients］［read_only_clients］［read_write_clients］［unresolved_clients］［all_dirs］［block_size］［can_set_time］［commit_asynchronous］［directory_transfer_size］［encoding］［map_lookup_uid］［map_retry］［map_all］

ファイル共有


l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

l

［map_root］［map_full］［max_file_size］［read_only］［readdirplus］［return_32bit_file_ids］［read_transfer_max_size］［read_transfer_multiple］［read_transfer_size］［security_flavors］［setattr_asynchronous］［symlinks］［time_delta］［write_datasync_action］［write_datasync_reply］［write_filesync_action］［write_filesync_reply］［write_unstable_action］［write_unstable_reply］［write_transfer_max_size］［write_transfer_multiple］［write_transfer_size］

--descendingデータを降順にソートすることを指定します。



{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


ファイル共有


例次のコマンドを実行すると、デフォルトで現在のゾーン内の NFS エクスポートの一覧が表示されます。

isi nfs exports list

次のコマンドを実行すると、特定のゾーン内の NFS エクスポートの一覧が表示されます。

isi nfs exports list --zone hq-home

isi nfs exports modify

NFS エクスポートを変更します。

isi nfs settings export view コマンドを実行して、エクスポートのデフォルト設定の全リストを表示できます。

構文

isi nfs exports modify ［<id>］[--block-size ［<size>］][--revert-block-size][--can-set-time {yes | no}][--revert-can-set-time][--case-insensitive {yes | no}][--revert-case-insensitive][--case-preserving {yes | no}][--revert-case-preserving][--chown-restricted {yes | no}][--revert-chown-restricted][--directory-transfer-size ［<size>］][--revert-directory-transfer-size][--link-max ［<integer>］][--revert-link-max][--max-file-size ［<size>］][--revert-max-file-size][--name-max-size ［<integer>］][--revert-name-max-size][--no-truncate {yes | no}][--revert-no-truncate][--return-32bit-file-ids {yes | no}][--revert-return-32bit-file-ids][--symlinks {yes | no}][--revert-symlinks][--new-zone ［<string>］][--description ［<string>］][--paths <path>][--clear-paths][--add-paths ［<string>］][--remove-paths ［<string>］][--clients ［<string>］][--clear-clients][--add-clients ［<string>］][--remove-clients ［<string>］][--root-clients ［<string>］][--clear-root-clients][--add-root-clients ［<string>］]

ファイル共有


[--remove-root-clients ［<string>］][--read-write-clients ［<string>］][--clear-read-write-clients][--add-read-write-clients ［<string>］][--remove-read-write-clients ［<string>］][--read-only-clients ［<string>］][--clear-read-only-clients][--add-read-only-clients ［<string>］][--remove-read-only-clients ［<string>］][--all-dirs {yes | no}][--revert-all-dirs][--encoding ［<string>］][--revert-encoding][--security-flavors {unix | krb5 | krb5i | krb5p}][--revert-security-flavors][--clear-security-flavors][--add-security-flavors {unix | krb5 | krb5i | krb5p}][--remove-security-flavors ［<string>］][--snapshot ［<snapshot>］][--revert-snapshot][--map-lookup-uid {yes | no}][--revert-map-lookup-uid][--map-retry {yes | no}][--revert-map-retry][--map-root-enabled {yes | no}][--revert-map-root-enabled][--map-non-root-enabled {yes | no}][--revert-map-non-root-enabled][--map-failure-enabled {yes | no}][--revert-map-failure-enabled][--map-all ［<identity>］][--revert-map-all][--map-root ［<identity>］][--revert-map-root][--map-non-root ［<identity>］][--revert-map-non-root][--map-failure ［<identity>］][--revert-map-failure][--map-full {yes | no}][--revert-map-full][--commit-asynchronous {yes | no}][--revert-commit-asynchronous][--read-only {yes | no}][--revert-read-only][--readdirplus {yes | no}][--revert-readdirplus][--read-transfer-max-size ［<size>］][--revert-read-transfer-max-size][--read-transfer-multiple ［<integer>］][--revert-read-transfer-multiple][--read-transfer-size ［<size>］][--revert-read-transfer-size][--setattr-asynchronous {yes | no}][--revert-setattr-asynchronous][--time-delta ［<time delta>］][--revert-time-delta][--write-datasync-action {datasync | filesync |unstable}][--revert-write-datasync-action][--write-datasync-reply {datasync | filesync}][--revert-write-datasync-reply][--write-filesync-action {datasync | filesync |unstable}][--revert-write-filesync-action][--write-filesync-reply filesync][--write-unstable-action {datasync | filesync |unstable}][--revert-write-unstable-action]

ファイル共有


[--write-unstable-reply {datasync | filesync |unstable}] [--revert-write-unstable-reply] [--write-transfer-max-size ［<size>］] [--revert-write-transfer-max-size] [--write-transfer-multiple ［<integer>］] [--revert-write-transfer-multiple] [--write-transfer-size ［<size>］] [--revert-write-transfer-size] [--zone ［<string>］] [--ignore-unresolvable-hosts] [--ignore-bad-paths] [--ignore-bad-auth] [--ignore-conflicts] [--force] [--verbose]


エクスポートの ID番号。isi nfs exports list コマンドを使用して、現在のアクセスゾーン内のすべてのエクスポートとその ID番号を表示できます。

--block-size［<size>］ブロック長（バイト単位）を指定します。

--revert-block-size設定をシステムのデフォルト値に復元します。

--can-set-time {yes | no}

yes に設定すると、エクスポートで時刻を設定できます。デフォルトの設定は no です。--revert-can-set-time

設定をシステムのデフォルト値に復元します。

--case-insensitive {yes | no}


--revert-case-insensitive設定をシステムのデフォルト値に復元します。

--case-preserving {yes | no}


--revert-case-preserving設定をシステムのデフォルト値に復元します。

--chown-restricted {yes | no}


--revert-chown-restricted設定をシステムのデフォルト値に復元します。

--directory-transfer-size［<size>］

ファイル共有


優先ディレクトリ転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KB には K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b で、初期のデフォルト値は 128K です。

--revert-directory-transfer-size設定をシステムのデフォルト値に復元します。


--revert-link-max設定をシステムのデフォルト値に復元します。


--revert-max-file-size設定をシステムのデフォルト値に復元します。


--revert-name-max-size設定をシステムのデフォルト値に復元します。

--no-truncate {yes | no}

yes に設定されている場合、長すぎるファイル名はトランケートされずにエラーになります。--revert-no-truncate


--return-32bit-file-ids {yes | no}

NFSv3以降にのみ適用されます。yes に設定した場合、readdir から返されるファイル識別子のサイズを 32 ビット値に制限します。デフォルト値は no です。


--revert-return-32bit-file-ids設定をシステムのデフォルト値に復元します。

--symlinks {yes | no}

yes に設定すると、symlink のサポートを通知します。デフォルトの設定は no です。--revert-symlinks


--new-zone［<string>］エクスポートを適用する必要のある新しいアクセスゾーンを指定します。デフォルトのゾーンはsystem です。

ファイル共有


--description［<string>］この NFS エクスポートの説明。

--paths［<paths>］ ...

必須項目。/ifs から開始する、エクスポートするパスを指定します。このオプションを繰り返して、複数パスを指定できます。

--clear-pathsエクスポートに対して最初に指定されたパスをクリアします。パスは/ifs ディレクトリ内にある必要があります。

--add-paths［<paths>］ ...

エクスポートに対して最初に指定されたパスに追加します。パスは/ifs内にある必要があります。このオプションを繰り返して、複数パスを指定できます。

--remove-paths［<paths>］ ...

エクスポートに対して最初に指定されたパスからパスを削除します。パスは/ifs内にある必要があります。このオプションを繰り返して、削除する複数パスを指定できます。

--clients［<string>］このエクスポートを介してアクセスが許可されるクライアントを指定します。クライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。このオプションを繰り返すことにより、複数のクライアントを追加できます。

--clear-clientsこのエクスポートを通じたアクセスが最初に許可されていたクライアントの全リストをクリアします。

--add-clients［<string>］このエクスポートを通じたアクセス権を持つクライアントのリストに追加するクライアントを指定します。追加するクライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。このオプションを繰り返すことにより、複数のクライアントを追加できます。

--remove-clients［<string>］このエクスポートを通じたアクセス権を持つクライアントのリストから削除するクライアントを指定します。削除するクライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。このオプションを繰り返すことにより、複数のクライアントを削除できます。

--root-clients［<string>］特定のクライアントの root ユーザーにクラスターの root ユーザーとして操作することを許可します。指定したクラスターについてこのオプションは、--map-all および--map-root オプションを上書きします。クライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。複数のクライアントをコンマ区切りリストで指定します。

--clear-root-clientsこのエクスポートを通じたアクセスが最初に許可されていたルートクライアントの全リストをクリアします。

--add-root-clients［<string>］このエクスポートを通じたアクセス権を持つルートクライアントのリストに追加するルートクライアントを指定します。追加するルートクライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネッ

ファイル共有


トグループ、CIDR範囲のいずれかとして指定します。このオプションを繰り返すことにより、複数のルートクライアントを追加できます。

--remove-root-clients［<string>］このエクスポートを通じたアクセス権を持つルートクライアントのリストから削除するルートクライアントを指定します。削除するルートクライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。このオプションを繰り返すことにより、複数のルートクライアントを削除できます。

--read-write-clients［<string>］このエクスポートに指定したクライアントに読み取り/書き込み権限を付与します。このオプションは、指定したクライアントの--read-only オプションを上書きします。クライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。複数のクライアントをコンマ区切りリストで指定します。

--clear-read-write-clientsこのエクスポートを通じたアクセスが最初に許可されていた読み取り/書き込みクライアントの全リストをクリアします。

--add-read-write-clients［<string>］このエクスポートを通じたアクセス権を持つ読み取り/書き込みクライアントのリストに追加する読み取り/書き込みクライアントを指定します。追加する読み取り/書き込みクライアントをIPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。このオプションを繰り返すことにより、複数の読み取り/書き込みクライアントを追加できます。

--remove-read-write-clients［<string>］このエクスポートを通じたアクセス権を持つ読み取り/書き込みクライアントのリストから削除する読み取り/書き込みクライアントを指定します。削除する読み取り/書き込みクライアントをIPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。このオプションを繰り返すことにより、複数の読み取り/書き込みクライアントを削除できます。

--read-only-clients［<string>］このエクスポートについて指定したクライアントを読み取り専用にします。このオプションは、指定したクライアントの--read-only オプションを上書きします。クライアントを IPv4 アドレス、IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。複数のクライアントをコンマ区切りリストで指定します。

--clear-read-only-clientsこのエクスポートを通じたアクセスが最初に許可されていた読み取り専用クライアントの全リストをクリアします。

--add-read-only-clients［<string>］このエクスポートを通じたアクセス権を持つ読み取り専用クライアントのリストに追加する読み取り専用クライアントを指定します。追加する読み取り専用クライアントを IPv4 アドレス、IPv6アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。このオプションを繰り返すことにより、複数の読み取り専用クライアントを追加できます。

--remove-read-only-clients［<string>］このエクスポートを通じたアクセス権を持つ読み取り専用クライアントのリストから削除する読み取り専用クライアントを指定します。削除する読み取り専用クライアントを IPv4 アドレス、

ファイル共有


IPv6 アドレス、ホスト名、ネットグループ、CIDR範囲のいずれかとして指定します。このオプションを繰り返すことにより、複数の読み取り専用クライアントを削除できます。

--all-dirs {yes | no}


--revert-all-dirs設定をシステムのデフォルト値に復元します。


cp932 Windows-SJIS

cp949 Windows-949

cp1252 Windows-1252

euc-kr EUC-KR

euc-jp EUC-JP

euc-jp-ms EUC-JP-MS

utf-8-mac UTF-8-MAC

utf-8 UTF-8

iso-8859-1 ISO-8859-1（Latin-1）

iso-8859-2 ISO-8859-2（Latin-2）

iso-8859-3 ISO-8859-3（Latin-3）

iso-8859-4 ISO-8859-4（Latin-4）

iso-8859-5 ISO-8859-5（キリル文字）

iso-8859-6 ISO-8859-6（アラビア語）

iso-8859-7 ISO-8859-7（ギリシャ語）

iso-8859-8 ISO-8859-8（ヘブライ語）

iso-8859-9 ISO-8859-9（Latin-5）

iso-8859-10 ISO-8859-10（Latin-6）

iso-8859-13 ISO-8859-13（Latin-7）

iso-8859- 14 ISO-8859-14（Latin-8）

iso-8859-15 ISO-8859-15（Latin-9）

iso-8859-16 ISO-8859-16（Latin-10）

--revert-encoding設定をシステムのデフォルト値に復元します。

ファイル共有


--security-flavors {unix | krb5 | krb5i | krb5p}

サポートするセキュリティの種類を指定します。複数のセキュリティの種類をサポートするには、追加の各エントリーについてこのオプションを繰り返します。次の値が有効です。［unix］

UNIX（システム）認証。




--revert-security-flavors設定をシステムのデフォルト値に復元します。

--clear-security-flavorsサポート対象のセキュリティの種類の値をクリアします。

--add-security-flavors {unix | krb5 | krb5i | krb5p}

サポート対象のセキュリティの種類を追加します。追加する各サポート対象のセキュリティの種類について繰り返します。

--remove-security-flavorsサポート対象のセキュリティの種類を削除します。リストから削除する各サポート対象のセキュリティの種類について繰り返します。

--snapshot {［<snapshot>］ | ［<snapshot-alias>］}エクスポートするスナップショットの ID またはスナップショットエイリアスを指定します。このオプションを指定すると、指定されたスナップショットまたは指定されたスナップショットエイリアスに参照されたスナップショットのいずれかにキャプチャされた状態でディレクトリがエクスポートされます。スナップショットがエクスポートされたパスをキャプチャしない場合、ユーザーはエクスポートにアクセスできません。スナップショットエイリアスを指定し、後にエイリアスが新しいスナップショットを参照するように変更された場合、新しいスナップショットがエクスポートに自動的に適用されます。スナップショットは読み取り専用のため、クライアントは、ファイルシステムのライブバージョンを参照するスナップショットエイリアスの ID を指定しない限り、エクスポートを介してデータを変更できません。スナップショットまたはスナップショットエイリアスの ID または名前として、［<snapshot>］または［<snapshot-alias>］を指定します。

--revert-snapshot設定をシステムのデフォルト値に復元します。

--map-lookup-uid {yes | no}


--revert-map-lookup-uid設定をシステムのデフォルト値に復元します。

ファイル共有


--map-retry {yes | no}


--revert-map-retry設定をシステムのデフォルト値に復元します。

--map-root-enabled {yes | no}


--revert-map-root-enabled設定をシステムのデフォルト値に復元します。

--map-non-root-enabled {yes | no}


--revert-map-non-root-enabled設定をシステムのデフォルト値に復元します。

--map-failure-enabled {yes | no}


--revert-map-failure-enabled設定をシステムのデフォルト値に復元します。

--map-all［<identity>］すべてのユーザーによる操作の実行に使用されるデフォルトの ID を指定します。このオプションが root に設定されていない場合、クライアントを--root-clients に含めることで特定のクライアントの root ユーザーにクラスターの root ユーザーとして操作することを許可できます。

--revert-map-all設定をシステムのデフォルト値に復元します。


--revert-map-root設定をシステムのデフォルト値に復元します。


--revert-map-non-root設定をシステムのデフォルト値に復元します。


--revert-map-failure設定をシステムのデフォルト値に復元します。

ファイル共有


--map-full {yes | no}


--revert-map-full--map-full設定をシステムのデフォルトである yes に復元します。

--commit-asynchronous {yes | no}

yes に設定すると、データコミット操作を非同期に実行できます。デフォルトの設定は no です。

--revert-commit-asynchronous設定をシステムのデフォルト値に復元します。

--read-only {yes | no}


--revert-read-only設定をシステムのデフォルト値に復元します。

--readdirplus {yes | no}

NFSv3 だけに適用されます。yes に設定すると、readdir-plus要求の処理が有効になります。デフォルトの設定は yes です。

--revert-readdirplus設定をシステムのデフォルト値に復元します。

--read-transfer-max-size［<size>］NFSv3 と NFSv4 クライアントにレポートする最大読み取り転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KBには K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b で、初期のデフォルト値は 1M です。

--revert-read-transfer-max-size設定をシステムのデフォルト値に復元します。

--read-transfer-multiple［<integer>］NFSv3 と NFSv4 クライアントにレポートする推奨の複数読み取りサイズを指定します。有効な値は 0～4294967295 です。初期デフォルト値は 512 です。

--revert-read-transfer-multiple設定をシステムのデフォルト値に復元します。

--read-transfer-size［<size>］

ファイル共有


NFSv3 と NFSv4 クライアントにレポートする優先読み取り転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KBには K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b、または--read-transfer-max-size がより小さい値に設定されている場合はより小さい値になります。初期のデフォルト値は 128K です。

--revert-read-transfer-size設定をシステムのデフォルト値に復元します。

--setattr-asynchronous {yes | no}

yes に設定すると、属性設定操作が非同期に実行されます。デフォルトの設定は no です。--revert-setattr-asynchronous


--time-delta［<float>］サーバー時間粒度を指定します（秒単位）。

--revert-time-delta設定をシステムのデフォルト値に復元します。

--write-datasync-action {datasync | filesync | unstable}

NFSv3 と NFSv4 だけに適用されます。代替の datasync write メソッドを指定します。次の値が有効です。l

l

l

［datasync］［filesync］［unstable］

デフォルト値は datasync で、指定された要求を実行します。--revert-write-datasync-action


--write-datasync-reply {datasync | filesync}

NFSv3 と NFSv4 だけに適用されます。代替の datasync reply メソッドを指定します。次の値が有効です。l

l


デフォルト値は datasync（異なる応答をしない）です。--revert-write-datasync-reply


--write-filesync-action {datasync | filesync | unstable}

NFSv3 と NFSv4 だけに適用されます。代替の filesync write メソッドを指定します。次の値が有効です。l ［datasync］l ［filesync］l ［unstable］デフォルト値は filesync で、指定された要求を実行します。

ファイル共有


--revert-write-filesync-action設定をシステムのデフォルト値に復元します。



--write-unstable-action {datasync | filesync | unstable}

代替の unstable-write メソッドを指定します。次の値が有効です。l ［datasync］l ［filesync］l ［unstable］デフォルト値は unstable で、指定された要求を実行します。

--revert-write-unstable-action設定をシステムのデフォルト値に復元します。

--write-unstable-reply {datasync | filesync | unstable}

代替の unstable-reply メソッドを指定します。次の値が有効です。l ［datasync］l ［filesync］l ［unstable］デフォルト値は unstable（異なる応答をしない）です。

--revert-write-unstable-reply設定をシステムのデフォルト値に復元します。

--write-transfer-max-size［<size>］NFSv3 および NFSv4 クライアントにレポートする推奨の最大書き込み転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KB には K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b で、初期のデフォルト値は 1M です。

--revert-write-transfer-max-size設定をシステムのデフォルト値に復元します。

--write-transfer-multiple［<integer>］NFSv3 と NFSv4 クライアントにレポートする推奨の書き込み転送乗数を指定します。有効な値は 0～4294967295 です。初期デフォルト値は 512 です。

--revert-write-transfer-multiple設定をシステムのデフォルト値に復元します。

--write-transfer-size［<size>］NFSv3 および NFSv4 クライアントにレポートする推奨書き込み転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトにはb、KB には K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b、または--write-transfer-max-size がより小さい値に設定されている場合はより小さい値になります。初期のデフォルト値は 512Kです。

ファイル共有


--revert-write-transfer-size設定をシステムのデフォルト値に復元します。

--zoneエクスポートが最初に作成されたアクセスゾーン。




--ignore-conflicts新規または変更されたエクスポートと既存の構成の間の競合を無視します。

{--force | -f}

no（デフォルト）に設定すると、コマンドの実行時に確認プロンプトが表示されます。yes に設定すると、確認プロンプトなしでコマンドが実行されます。

{--verbose | -v}


isi nfs exports reload

NFS レポートの構成を再ロードします。

構文

isi nfs exports reload


isi nfs exports view

NFS エクスポートを表示します。

構文

isi nfs exports view ［<id>］[--zone ［<string>］]


表示する NFS エクスポートの ID を指定します。ID が不明な場合は、isi nfsexports list コマンドを使用して、エクスポートとそれに関連づけられた ID のリストを表示します。

--zone［<string>］

ファイル共有


エクスポートが作成されたアクセスゾーンの名前を指定します。

isi nfs log-level modify

NFS サービスのログレベルを設定します。

構文

isi nfs log-level modify ［<level>］[--verbose]


有効なログレベルは次のとおりです。ログレベル説明

always すべての NFS イベントが NFS ログファイルに記録されることを指定する。

error NFS エラー条件のみが NFS ログファイルに記録されることを指定する。

warning NFS警告条件のみが NFS ログファイルに記録されることを指定する。

info NFS情報条件のみが NFS ログファイルに記録されることを指定する。

verbose 詳細ログを指定する。

debug EMC Isilon での問題のトラブルシューティングに使用できる情報を追加する。

trace EMC Isilon での問題の特定に使用できるトレース情報を追加する。

{--verbose | -v}


isi nfs log-level view

NFS サービスのログレベルを表示します。

構文

isi nfs log-level view


isi nfs netgroup check

NFS ネットグループキャッシュを更新します。

構文

isi nfs netgroup check[--host ［<string>］][--verbose]

ファイル共有


オプション--host［<string>］

チェックするノードの IPv4 または IPv6 アドレス。デフォルトは localhost の IP アドレスです。

{--verbose | -v}


isi nfs netgroup flush

NFS ネットグループキャッシュをフラッシュします。

構文

isi nfs netgroup flush [--host ［<string>］] [--verbose]

オプション--host［<string>］

フラッシュするノードの IPv4 または IPv6 アドレス。ノードを指定しない場合、すべてのノードがフラッシュされます（デフォルト）。

{verbose | -v}


isi nfs netgroup modify

NFS ネットグループキャッシュの設定を変更します。

構文

isi nfs netgroup modify [--bgwrite ［<duration>］] [--expiration ［<duration>］] [--lifetime ［<duration>］] [--retry ［<duration>］] [--verbose]

オプション

次のオプションの定義では、[YMWDHms]という整数形式で期間を表します。

{bgwrite | -w} ［<duration>］ディスク間バックアップの間隔を設定します。

{expiration | -e} ［<duration>］ネットグループの有効期限を設定します。

{lifetime | -i} ［<duration>］

ファイル共有


ネットグループの有効期間を設定します。

{retry | -r} ［<duration>］再試行間隔を設定します。

{verbose | -v}


isi nfs exports view

NFS エクスポートを表示します。

構文

isi nfs exports view ［<id>］ [--zone ［<string>］]


表示する NFS エクスポートの ID を指定します。ID が不明な場合は、isi nfsexports list コマンドを使用して、エクスポートとそれに関連づけられた ID のリストを表示します。

--zone［<string>］エクスポートが作成されたアクセスゾーンの名前を指定します。

isi nfs nlm locks list

NFSv3 だけに適用されます。NFS Network Lock Manager（NLM）アドバイザリロックのリストを表示します。

構文

isi nfs nlm locks list [--limit ［<integer>］] [--sort {client | path | lock_type | range | created}] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]


指定した数より多くの NFS nlm ロックを表示しません。

--sort {client | path | lock_type | range | created}


{--descending | -d}


ファイル共有




{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


例次のコマンドを実行すると、現在のすべての NLM ロックの詳細なリストが表示されます。

isi nfs nlm locks list --verbose

次のサンプル出力では、現在 3 つのロックがあります。1 つは/ifs/home/test1/file.txt、2 つは/ifs/home/test2/file.txt にあります。

Client Path Lock Type Range------------------------ ------------------------ --------- ------machineName/10.72.134.119 /ifs/home/test1/file.txt exclusive [0, 2]machineName/10.59.166.125 /ifs/home/test2/file.txt shared [10, 20]machineName/10.63.119.205 /ifs/home/test2/file.txt shared [10, 20]

isi nfs nlm locks waiters

現在ロックされているファイルへの Network Lock Manager（NLM）ロックの設定を待機しているクライアントのリストを表示します。このコマンドは、NFSv3 のみに適用されます。

構文

isi nfs nlm locks waiters [--limit ［<integer>］] [--sort {client | path | lock_type | range | created}] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプション{--limit | -l}［<integer>］

指定した数より多くの NLM ロックを表示しません。

--sort {client | path | lock_type | range | created}


--descendingデータを降順にソートすることを指定します。

ファイル共有




{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


例次のコマンドを実行すると、現在ロックされているファイルのロックを待機しているクライアントの詳細なリストが表示されます。

isi nfs nlm locks waiters --verbose


Client Path Lock Type Range--------------------- ------------------------ --------- ------machineName/1.2.34.5 /ifs/home/test1/file.txt exclusive [0, 2]

isi nfs nlm sessions check

失われたロックを検索します。

構文

isi nfs nlm sessions check [--cluster-ip ［<string>］] [--zone ［<string>］]

例 2 オプション

--cluster-ip［<string>］クライアントが接続されるクラスターの IP アドレス。

--zone［<string>］クライアントが接続されるアクセスゾーン。

isi nfs nlm sessions delete

NFS Network Lock Manager（NLM）接続に関連づけられているすべての状態を削除します。

ファイル共有


構文

isi nfs nlm sessions delete ［<hostname>］［<cluster-ip>］[--zone ［<string>］][--force][--verbose]

オプション［<hostname>］

セッションを開始したクライアントの名前。

［<cluster-ip>］クライアントが接続されるクラスターの IP アドレス。


{force | -f}


{verbose | -v}


isi nfs nlm sessions list

NFS Network Lock Manager（NLM）ロックを保持しているクライアントのリストを表示します。このコマンドは、NFSv3 のみに適用されます。

構文

isi nfs nlm sessions list[--limit ［<integer>］][--sort {ID | client}][--descending][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]


表示する NFS NLM セッションの数。

--sort {hostname | cluster_ip | is_active |notify_attempts_remaining}


{--descending | -d}



ファイル共有



{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


例次のコマンドを実行すると、アクティブな NLM セッションのリストが表示されます。

isi nfs nlm sessions list

isi nfs nlm sessions refresh

NFS Network Lock Manager（NLM）クライアントが更新されます。

構文

isi nfs nlm sessions refresh ［<hostname>］［<cluster-ip>］ [--zone ［<string>］] [--force] [--verbose]



［<cluster-ip>］クライアントが接続されるクラスターの IP アドレス。


{--force | -f}


{--verbose | -v}


isi nfs nlm sessions view

NFS Network Lock Manager（NLM）クライアントの接続に関する情報を表示します。

ファイル共有


構文

isi nfs nlm sessions view ［<hostname>］[--cluster-ip ［<string>］][--zone ［<string>］][--limit ［<integer>］][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]



--cluster-ip［<string>］クライアントが接続されるクラスターの IP アドレス。


{--limit | -l} ［<integer>］指定した数より多くの NFS nlm ロックを表示しません。



{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi nfs settings export modify

NFS エクスポートを作成するときに適用されるデフォルトの設定を変更します。

現在構成されているデフォルトの NFS エクスポートの設定を表示するには、isi nfssettings export view コマンドを実行します。

構文

isi nfs exports modify ［<ID>］[--block-size ［<size>］][--revert-block-size]

ファイル共有


[--can-set-time {yes|no}] [--revert-can-set-time] [--case-insensitive {yes|no}] [--revert-case-insensitive] [--case-preserving {yes|no}] [--revert-case-preserving] [--chown-restricted {yes|no}] [--revert-chown-restricted] [--directory-transfer-size ［<size>］] [--revert-directory-transfer-size] [--link-max ［<integer>］] [--revert-link-max] [--max-file-size ［<size>］] [--revert-max-file-size] [--name-max-size ［<integer>］] [--revert-name-max-size] [--no-truncate {yes|no}] [--revert-no-truncate] [--return-32bit-file-ids {yes|no}] [--revert-return-32bit-file-ids] [--symlinks {yes|no}] [--revert-symlinks] [--all-dirs {yes|no}] [--revert-all-dirs] [--encoding ［<string>］] [--revert-encoding] [--security-flavors {unix|krb5|krb5i|krb5p}] [--revert-security-flavors] [--clear-security-flavors] [--add-security-flavors {unix|krb5|krb5i|krb5p}] [--remove-security-flavors ［<string>］] [--snapshot ［<snapshot>］] [--revert-snapshot] [--map-lookup-uid {yes|no}] [--revert-map-lookup-uid] [--map-retry {yes|no}] [--revert-map-retry] [--map-root-enabled {yes|no}] [--revert-map-root-enabled] [--map-non-root-enabled {yes|no}] [--revert-map-non-root-enabled] [--map-failure-enabled {yes|no}] [--revert-map-failure-enabled] [--map-all ［<identity>］] [--revert-map-all] [--map-root ［<identity>］] [--revert-map-root] [--map-non-root ［<identity>］] [--revert-map-non-root] [--map-failure ［<identity>］] [--revert-map-failure] [--map-full {yes|no}] [--revert-map-full] [--commit-asynchronous {yes|no}] [--revert-commit-asynchronous] [--read-only {yes|no}] [--revert-read-only] [--readdirplus {yes|no}] [--revert-readdirplus] [--read-transfer-max-size ［<size>］] [--revert-read-transfer-max-size] [--read-transfer-multiple ［<integer>］] [--revert-read-transfer-multiple] [--read-transfer-size ［<size>］] [--revert-read-transfer-size] [--setattr-asynchronous {yes|no}]

ファイル共有


[--revert-setattr-asynchronous] [--time-delta ［<integer>］] [--revert-time-delta] [--write-datasync-action {datasync|filesync|unstable}] [--revert-write-datasync-action] [--write-datasync-reply {datasync|filesync}] [--revert-write-datasync-reply] [--write-filesync-action {datasync|filesync|unstable}] [--revert-write-filesync-action] [--write-filesync-reply filesync] [--write-unstable-action {datasync|filesync|unstable}] [--revert-write-unstable-action] [--write-unstable-reply {datasync|filesync|unstable}] [--revert-write-unstable-reply] [--write-transfer-max-size ［<size>］] [--revert-write-transfer-max-size] [--write-transfer-multiple ［<integer>］] [--revert-write-transfer-multiple] [--write-transfer-size ［<size>］] [--revert-write-transfer-size] [--zone ［<string>］] [--force] [--verbose]

オプション--block-size［<size>］

ブロック長（バイト単位）を指定します。--revert-block-size


--can-set-time {yes|no}

yes に設定すると、エクスポートで時刻を設定できます。デフォルトの設定は no です。--revert-can-set-time


--case-insensitive {yes|no}


--revert-case-insensitive設定をシステムのデフォルト値に復元します。

--case-preserving {yes|no}


--revert-case-preserving設定をシステムのデフォルト値に復元します。

--chown-restricted {yes|no}


--revert-chown-restricted設定をシステムのデフォルト値に復元します。

ファイル共有


--directory-transfer-size［<size>］優先ディレクトリ転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KB には K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b で、初期のデフォルト値は 128K です。

--revert-directory-transfer-size設定をシステムのデフォルト値に復元します。


--revert-link-max設定をシステムのデフォルト値に復元します。


--revert-max-file-size設定をシステムのデフォルト値に復元します。


--revert-name-max-size設定をシステムのデフォルト値に復元します。

--no-truncate {yes|no}

yes に設定されている場合、長すぎるファイル名はトランケートされずにエラーになります。--revert-no-truncate


--return-32bit-file-ids {yes|no}

NFSv3以降にのみ適用されます。 yes に設定した場合、readdir から返されるファイル識別子のサイズを 32 ビット値に制限します。デフォルト値は no です。


--revert-return-32bit-file-ids設定をシステムのデフォルト値に復元します。

--symlinks {yes|no}

yes に設定すると、symlink のサポートを通知します。デフォルトの設定は no です。--revert-symlinks


--new-zone［<string>］

ファイル共有


エクスポートを適用する必要のある新しいアクセスゾーンを指定します。デフォルトのゾーンはsystem です。

--all-dirs {yes|yesno}


--revert-all-dirs設定をシステムのデフォルト値に復元します。


cp932 Windows-SJIS

cp949 Windows-949

cp1252 Windows-1252

euc-kr EUC-KR

euc-jp EUC-JP

euc-jp-ms EUC-JP-MS

utf-8-mac UTF-8-MAC

utf-8 UTF-8

iso-8859-1 ISO-8859-1（Latin-1）

iso-8859-2 ISO-8859-2（Latin-2）

iso-8859-3 ISO-8859-3（Latin-3）

iso-8859-4 ISO-8859-4（Latin-4）

iso-8859-5 ISO-8859-5（キリル文字）

iso-8859-6 ISO-8859-6（アラビア語）

iso-8859-7 ISO-8859-7（ギリシャ語）

iso-8859-8 ISO-8859-8（ヘブライ語）

iso-8859-9 ISO-8859-9（Latin-5）

iso-8859-10 ISO-8859-10（Latin-6）

iso-8859-13 ISO-8859-13（Latin-7）

iso-8859- 14 ISO-8859-14（Latin-8）

iso-8859-15 ISO-8859-15（Latin-9）

iso-8859-16 ISO-8859-16（Latin-10）

--revert-encoding設定をシステムのデフォルト値に復元します。

ファイル共有


--security-flavors {unix|krb5|krb5i|krb5p} ...

サポートするセキュリティの種類を指定します。複数のセキュリティの種類をサポートするには、追加の各エントリーについてこのオプションを繰り返します。次の値が有効です。［sys］

Sys または UNIX認証。




--revert-security-flavors設定をシステムのデフォルト値に復元します。

--snapshot {［<snapshot>］|［<snapshot-alias>］}エクスポートするスナップショットの ID またはスナップショットエイリアスを指定します。このオプションを指定すると、指定されたスナップショットまたは指定されたスナップショットエイリアスに参照されたスナップショットのいずれかにキャプチャされた状態でディレクトリがエクスポートされます。スナップショットがエクスポートされたパスをキャプチャしない場合、ユーザーはエクスポートにアクセスできません。スナップショットエイリアスを指定し、後にエイリアスが新しいスナップショットを参照するように変更された場合、新しいスナップショットがエクスポートに自動的に適用されます。スナップショットは読み取り専用のため、クライアントは、ファイルシステムのライブバージョンを参照するスナップショットエイリアスの ID を指定しない限り、エクスポートを介してデータを変更できません。スナップショットまたはスナップショットエイリアスの ID または名前として、［<snapshot>］または［<snapshot-alias>］を指定します。

--revert-snapshot設定をシステムのデフォルト値に復元します。

--map-lookup-uid {yes|no}


--revert-map-lookup-uid設定をシステムのデフォルト値に復元します。

--map-retry {yes|no}


--revert-map-retry設定をシステムのデフォルト値に復元します。

--map-root-enabled {yes|no}


ファイル共有


--revert-map-root-enabled設定をシステムのデフォルト値に復元します。

--map-non-root-enabled {yes|no}


--revert-map-non-root-enabled設定をシステムのデフォルト値に復元します。

--map-failure-enabled {yes|no}


--revert-map-failure-enabled設定をシステムのデフォルト値に復元します。

--map-all［<identity>］すべてのユーザーによる操作の実行に使用されるデフォルトの ID を指定します。このオプションが root に設定されていない場合、クライアントを--root-clients リストに含めることで特定のクライアントの root ユーザーにクラスターの root ユーザーとして操作することを許可できます。

--revert-map-all設定をシステムのデフォルト値に復元します。


--revert-map-root設定をシステムのデフォルト値に復元します。


--revert-map-non-root設定をシステムのデフォルト値に復元します。


--revert-map-failure設定をシステムのデフォルト値に復元します。

--map-full {yes|no}


--revert-map-full

ファイル共有


--map-full設定をシステムのデフォルトである yes に復元します。--commit-asynchronous {yes|no}

yes に設定すると、データコミット操作を非同期に実行できます。デフォルトの設定は no--revert-commit-asynchronous


--read-only {yes|no}


--revert-read-only設定をシステムのデフォルト値に復元します。

--readdirplus {yes|no}

NFSv3 だけに適用されます。 yes に設定すると、readdir-plus要求の処理が有効になります。デフォルトの設定は no です。

--revert-readdirplus設定をシステムのデフォルト値に復元します。

--read-transfer-max-size［<size>］NFSv3 と NFSv4 クライアントにレポートする最大読み取り転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KBには K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b で、初期のデフォルト値は 512K です。

--revert-read-transfer-max-size設定をシステムのデフォルト値に復元します。

--read-transfer-multiple［<integer>］NFSv3 と NFSv4 クライアントにレポートする推奨の複数読み取りサイズを指定します。有効な値は、0～4294967295 です。初期のデフォルト値は 512 です。

--revert-read-transfer-multiple設定をシステムのデフォルト値に復元します。

--read-transfer-size［<size>］NFSv3 と NFSv4 クライアントにレポートする優先読み取り転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KBには K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b で、初期のデフォルト値は 128K です。

--revert-read-transfer-size設定をシステムのデフォルト値に復元します。

--setattr-asynchronous {yes|no}

yes に設定すると、属性設定操作が非同期に実行されます。デフォルトの設定は no です。--revert-setattr-asynchronous

ファイル共有



--time-delta［<integer>］サーバー時間粒度を指定します（秒単位）。

--revert-time-delta設定をシステムのデフォルト値に復元します。

--write-datasync-action {datasync|filesync|unstable}

NFSv3 と NFSv4 だけに適用されます。代替の datasync write メソッドを指定します。次の値が有効です。l ［datasync］l ［filesync］l ［unstable］デフォルト値は datasync で、指定された要求を実行します。

--revert-write-datasync-action設定をシステムのデフォルト値に復元します。

--write-datasync-reply {datasync|filesync}

NFSv3 と NFSv4 だけに適用されます。代替の datasync reply メソッドを指定します。次の値が有効です。l ［datasync］l ［filesync］デフォルト値は datasync（異なる応答をしない）です。

--revert-write-datasync-reply設定をシステムのデフォルト値に復元します。

--write-filesync-action {datasync|filesync|unstable}

NFSv3 と NFSv4 だけに適用されます。代替の filesync write メソッドを指定します。次の値が有効です。l ［datasync］l ［filesync］l ［unstable］デフォルト値は filesync で、指定された要求を実行します。

--revert-write-filesync-action設定をシステムのデフォルト値に復元します。



--write-unstable-action {datasync|filesync|unstable}

代替の unstable-write メソッドを指定します。次の値が有効です。

l

l


ファイル共有


l ［unstable］デフォルト値は unstable で、指定された要求を実行します。

--revert-write-unstable-action設定をシステムのデフォルト値に復元します。

--write-unstable-reply {datasync|filesync|unstable}

代替の unstable-reply メソッドを指定します。次の値が有効です。

l ［datasync］l ［filesync］l ［unstable］デフォルト値は unstable（異なる応答をしない）です。

--revert-write-unstable-reply設定をシステムのデフォルト値に復元します。

--write-transfer-max-size［<size>］NFSv3 と NFSv4 クライアントにレポートする優先読み取り転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KBには K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b で、初期のデフォルト値は 512K です。

--revert-write-transfer-max-size設定をシステムのデフォルト値に復元します。

--write-transfer-multiple［<integer>］NFSv3 と NFSv4 クライアントにレポートする推奨の書き込み転送乗数を指定します。有効な値は、0～4294967295 です。初期のデフォルト値は 512 です。

--revert-write-transfer-multiple設定をシステムのデフォルト値に復元します。

--write-transfer-size［<size>］NFSv3 と NFSv4 クライアントにレポートする優先読み取り転送サイズを指定します。有効な値は、測定単位（大文字と小文字が区別されます）が後に続く数字です。バイトには b、KBには K、MB には M、GB には G です。単位が指定されない場合、デフォルトでバイトが使用されます。最大値は 4294967295b で、初期のデフォルト値は 512K です。

--revert-write-transfer-size設定をシステムのデフォルト値に復元します。

--zoneエクスポートが最初に作成されたアクセスゾーン。

--forceno（デフォルト）に設定すると、コマンドの実行時に確認プロンプトが表示されます。 yes に設定すると、確認プロンプトなしでコマンドが実行されます。


ファイル共有


isi nfs settings export view

デフォルトの NFS エクスポート設定を表示します。

構文

isi nfs settings export view[--zone ［<string>］]


デフォルト設定が適用されるアクセスゾーンを指定します。

例現在構成されているデフォルトのエクスポート設定を表示するには、次のコマンドを実行します。

isi nfs settings export view


Read Write Clients: -Unresolved Clients: -

All Dirs: NoBlock Size: 8.0K

Can Set Time: YesCase Insensitive: NoCase Preserving: YesChown Restricted: No

Commit Asynchronous: NoDirectory Transfer Size: 128.0K

Encoding: DEFAULTLink Max: 32767

Map Lookup UID: NoMap Retry: YesMap Root

Enabled: TrueUser: nobody

Primary Group: -Secondary Groups: -Map Non Root

Enabled: FalseUser: nobody

Primary Group: -Secondary Groups: -Map Failure

Enabled: FalseUser: nobody

Primary Group: -Secondary Groups: -

Map Full: YesMax File Size: 8192.00000PName Max Size: 255

No Truncate: NoRead Only: No

Readdirplus: YesReturn 32Bit File Ids: NoRead Transfer Max Size: 1.00MRead Transfer Multiple: 512

Read Transfer Size: 128.0KSecurity Type: unix

ファイル共有


Setattr Asynchronous: NoSnapshot: -Symlinks: Yes

Time Delta: 1.0 nsWrite Datasync Action: datasyncWrite Datasync Reply: datasyncWrite Filesync Action: filesyncWrite Filesync Reply: filesyncWrite Unstable Action: unstableWrite Unstable Reply: unstable

Write Transfer Max Size: 1.00MWrite Transfer Multiple: 512

Write Transfer Size: 512.0K

isi nfs settings global modify

デフォルトの NFS グローバル設定を変更します。

構文

isi nfs settings global modify[--lock-protection ［<integer>］][--nfsv3-enabled {yes | no}][--nfsv4-enabled {yes | no}][--force]

オプション--lock-protection［<integer>］

ロックが失われるまでに発生可能なノードの障害数を指定します。

--nfsv3-enabled {yes | no}

NFSv3 が有効であることを指定します。

--nfsv4-enabled {yes | no}

NFSv4 が有効であることを指定します。

{--forceコマンドを確認なしで実行します。

isi nfs settings global view

NFS設定のグローバルオプションを表示します。

構文

isi nfs settings global view


ファイル共有


例このコマンドによって生成されたレポートの例を次に示します。

NFSv3 Enabled: YesNFSv4 Enabled: No

NFS Service Enabled: Yes

isi nfs settings zone modify

NFSv4 ID マッパーのデフォルトの NFS ゾーン設定を変更します。

構文

isi nfs settings zone modify[--nfsv4-domain ［<string>］][--revert-nfsv4-domain][--nfsv4-replace-domain {yes | no}][--revert-nfsv4-replace-domain][--nfsv4-no-domain {yes | no}][--revert-nfsv4-no-domain][--nfsv4-no-domain-uids {yes | no}][--revert-nfsv4-no-domain-uids][--nfsv4-no-names {yes | no}][--revert-nfsv4-no-names][--nfsv4-allow-numeric-ids {yes | no}][--revert-nfsv4-allow-numeric-ids][--zone ［<string>］][--verbose]

オプション--nfsv4-domain［<string>］

NFS V4 のドメイン名を指定する。

--revert-nfsv4-domain--nfsv4-domain設定をシステムのデフォルト値（localhost）に戻します。

--nfsv4-replace-domain {yes | no}

所有者/グループドメインを NFSv4 ドメイン名に置き換えます。

--revert-nfsv4-replace-domain設定をシステムのデフォルト値に戻します。デフォルトは yes。

--nfsv4-no-domain {yes | no}

NFSv4 ドメイン名を指定せずに所有者/グループを送信します。

--revert-nfsv4-no-domain設定をシステムのデフォルト値に戻します。デフォルトは no。

--nfsv4-no-domain-uids {yes | no}

NFSv4 ドメイン名を指定せずに UID/GID を送信します。

--revert-nfsv4-no-domain-uids設定をシステムのデフォルト値に戻します。デフォルトは yes。

--nfsv4-no-names {yes | no}

所有者/グループを常に UID/GID として送信します。

ファイル共有


--revert-nfsv4-no-names設定をシステムのデフォルト値に戻します。デフォルトは no。

--nfsv4-allow-numeric-ids {yes | no}

検索に失敗した場合、または--nfsv4-no-names が有効な場合、所有者/グループをUID/GID として送信します。

--revert-nfsv4-allow-numeric-ids設定をシステムのデフォルト値に戻します。デフォルトは yes。


{--verbose | -v}


例次のコマンドは、NFS サーバーがユーザー名の代わりに UID/GID を受け入れることを指定します。

isi nfs settings zone modify --nfsv4-no-names yes

isi nfs settings zone view

デフォルトの NFSv4-related アクセスゾーン設定を表示します。

構文

isi nfs settings zone view[--zone ［<string>］]


NFSv4-related設定を表示するアクセスゾーンを指定します。

例次のコマンドは、Zone1 という名前のアクセスゾーンの NFSv4-related設定を検証することを指定します。

isi nfs settings zone view --zone=Zone1

FTPOneFS には、標準 FTP および FTPS ファイル転送に対して構成できる vsftpd（Very SecureFTP Daemon を意味する）というセキュアな FTP サービスが含まれます。

FTP設定の表示現在の FTP構成設定のリストを表示できます。

ファイル共有


手順l isi ftp settings view コマンドを実行します。


Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: offChroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: Yes Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

FTP ファイル共有の有効化FTP サービス vsftpdはデフォルトで無効化されています。

isi services -l コマンドを実行してサービスを有効化または無効化するかを決定できます。

手順1. 次のコマンドを実行します。

isi services vsftpd enable

次の確認メッセージが表示されます。

The service 'vsftpd' has been enabled.

必要条件isi ftp コマンドを実行して、FTP設定を構成できます。

ファイル共有

FTP ファイル共有の有効化 545

FTP ファイル共有の構成クラスター内のすべてのノードが標準ユーザーアカウントによる FTP要求に応答するように、FTP サービスを設定できます。はじめにFTP サービスを使用するには、その前に有効化する必要があります。

リモート FTP サーバー間のファイル転送を有効化できます。また、anonymous または ftp という名前のローカルユーザーを作成することで root の anonymous FTP サービスを有効化できます。FTP アクセスを構成するときは、指定した FTP ルートがログインユーザーのホームディレクトリになるようにします。たとえば、jsmith というローカルユーザーの FTP ルートを ifs/home/jsmith にします。手順l isi ftp settings modify コマンドを実行します。

このコマンドは、アクションごとに別々に実行する必要があります。

次のコマンドを実行すると、サーバー間転送が有効化されます。

isi ftp settings modify --server-to-server=yes

次のコマンドを実行すると、anonymous アップロードが無効化されます。

isi ftp settings modify --allow-anon-upload=no

このコマンドは、アクションごとに別々に実行する必要があります。

FTP コマンドFTP サービスは、FTP コマンドを使用してアクセスおよび構成できます。

isi ftp settings modify

クラスターの FTP設定を変更します。

構文

isi ftp settings modify [--accept-timeout ［<duration>］] [--revert-accept-timeout] [--allow-anon-access {yes | no}] [--revert-allow-anon-access] [--allow-anon-upload {yes | no}] [--revert-allow-anon-upload [--allow-dirlists {yes | no}] [--revert-allow-dirlists] [--allow-downloads {yes | no}] [--revert-allow-downloads] [--allow-local-access {yes | no}] [--revert-allow-local-access] [--allow-writes {yes | no}] [--revert-allow-writes] [--always-chdir-homedir {yes | no}] [--revert-always-chdir-homedir]

ファイル共有


[--anon-chown-username ［<string>］] [--revert-anon-chown-username] [--anon-password-list ［<string>］...] [--clear-anon-password-list] [--add-anon-password-list ［<string>］...] [--remove-anon-password-list ［<string>］...] [--revert-anon-password-list] [--anon-root-path ［<path>］] [--revert-anon-root-path] [--anon-umask ［<integer-octal>］] [--revert-anon-umask] [--ascii-mode {off | upload | download | both}] [--revert-ascii-mode] [--chroot-exception-list ［<string>］...] [--clear-chroot-exception-list] [--add-chroot-exception-list ［<string>］...] [--remove-chroot-exception-list ［<string>］...] [--revert-chroot-exception-list] [--chroot-local-mode {all | none | all-with-exceptions | none-with-exceptions}] [--revert-chroot-local-mode [--connect-timeout ［<duration>］] [--revert-connect-timeout] [--data-timeout ［<duration>］] [--revert-data-timeout] [--denied-user-list ［<string>］...] [--clear-denied-user-list] [--add-denied-user-list ［<string>］...] [--remove-denied-user-list ［<string>］...] [--revert-denied-user-list] [--dirlist-localtime {yes | no}] [--revert-dirlist-localtime] [--dirlist-names {numeric | textual | hide}] [--revert-dirlist-names] [--file-create-perm ［<integer-octal>］] [--revert-file-create-perm] [--limit-anon-passwords {yes | no}] [--revert-limit-anon-passwords] [--local-root-path ［<path>］] [--revert-local-root-path] [--local-umask ［<integer-octal>］] [--revert-local-umask] [--server-to-server {yes | no}] [--revert-server-to-server] [--session-support {yes | no}] [--revert-session-support] [--session-timeout ［<duration>］] [--revert-session-timeout [--user-config-dir ［<path>］] [--revert-user-config-dir] [--service {yes | no}]

オプション--accept-timeout［<duration>］

タイムアウトの前にリモートクライアントが PASV スタイルデータ接続を確立する必要のある時間を秒単位で指定します。30～600 のすべての整数が有効な値です。デフォルト値は 60 です。

--revert-accept-timeout値を--accept-timeout のシステムデフォルトに設定します。

ファイル共有

FTP コマンド 547

--allow-anon-access {yes | no}

匿名ログインが許可されるかどうかを制御します。有効になっている場合は、ユーザー名 ftp とanonymous が匿名ログインとして認識されます。デフォルト値は No です。

--revert-allow-anon-access値を--allow-anon-access のシステムデフォルトに設定します。

--allow-anon-upload {yes | no}

匿名ユーザーが特定の条件下でファイルをアップロードできるかどうかを制御します。匿名ユーザーがアップロードできるようにするには、--allow-writes オプションを Yes に設定する必要があり、匿名ユーザーが目的のアップロード場所に対する書き込み権限を持っている必要があります。デフォルト値は Yes です。

--revert-allow-anon-upload値を--allow-anon-upload のシステムデフォルトに設定します。

--allow-dirlists {yes | no}

ディレクトリリストコマンドが有効かどうかを制御します。デフォルト値は Yes です。--revert-allow-dirlists

値を--allow-dirlists のシステムデフォルトに設定します。

--allow-downloads {yes | no}

ファイルをダウンロードできるかどうかを制御します。デフォルト値は Yes です。--revert-allow-downloads

値を--allow-downloads のシステムデフォルトに設定します。

--allow-local-access {yes | no}

ローカルログインが許可されるかどうかを制御します。Yes に設定すると、通常のユーザーアカウントをログインに使用することができます。デフォルト値は Yes です。

--revert-allow-local-access値を--allow-local-access のシステムデフォルトに設定します。

--allow-writes {yes | no}

ファイルシステムを変更するコマンドが許可されるかどうかを設定および表示します。次のいずれかのコマンドが許可されるかどうかを制御します。l STOR

l DELE

l RNFR

l RNTO

l MKD

l RMD

l APPE

l SITE

デフォルト値は［yes］です。

--revert-allow-writes値を--allow-writes のシステムデフォルトに設定します。

ファイル共有


--always-chdir-homedir {yes | no}

FTP が常に最初にディレクトリをユーザーのホームディレクトリに変更するかどうかを制御します。No に設定した場合、ユーザーのホームディレクトリを使用せずに、FTP の chroot領域を設定できます。デフォルト値は Yes です。

--revert-always-chdir-homedir値を--always-chdir-homedir のシステムデフォルトに設定します。

--anon-chown-username［<string>］匿名でアップロードされたファイルの所有権を指定されたユーザーに付与します。値はローカルユーザー名である必要があります。デフォルト値は root です。

--revert-anon-chown-username値を--anon-chown-username のシステムデフォルトに設定します。

--anon-password-list［<string>］...

匿名ユーザーパスワードのリストを表示します。

--clear-anon-password-list匿名ユーザーのパスワードのリストをクリアします。

--add-anon-password-list［<string>］...

匿名ユーザーのパスワードのリストにアイテムを追加します。追加パスワードを追加するごとに--add-anon-password-list を指定します。

--remove-anon-password-list［<string>］...

匿名ユーザーのパスワードのリストからアイテムを削除します。追加パスワードを削除するごとに--remove-anon-password-list を指定します。

--revert-anon-password-list値を--anon-password-list のシステムデフォルトに設定します。

--anon-root-path［<path>］匿名ログイン後に VSFTPD（Very Secure FTP Daemon）が変更しようとするディレクトリである、匿名ユーザーのルートパスを表示および指定します。有効なパスは/ifs です。デフォルト値は/ifs/home/ftp です。

--revert-anon-root-path値を--anon-root-path のシステムデフォルトに設定します。

--anon-umask［<integer-octal>］匿名ユーザーによるファイル作成の umask を指定します。有効な値は 8進数の umask番号です。デフォルト値は 077 です。

値は［0］プレフィックスを含む必要があります。それ以外の場合、値は 10進数の整数として扱われます。

--revert-anon-umask値を--anon-umask のシステムデフォルトに設定します。

--ascii-mode {off | upload | download | both}

ファイル共有


ASCII ダウンロード、アップロード、またはその両方を有効にします。

--revert-ascii-mode値を--ascii-mode のシステムデフォルトに設定します。

--chroot-exception-list［<string>］ローカルユーザー chroot例外のリストを表示します。

--clear-chroot-exception-listローカルユーザー chroot例外のリストをクリアします。

--add-chroot-exception-list［<string>］ユーザーを chroot例外リストに追加します。

--remove-chroot-exception-list［<string>］ユーザーを chroot例外リストから削除します。

--revert-chroot-exception-list値を--chroot-exception-list のシステムデフォルトに設定します。

--chroot-local-mode {all | none | all-with-exceptions | none-with-exceptions}

ログイン後にホームディレクトリの chroot jail に配置されるユーザーを指定します。

--revert-chroot-local-mode値を--chroot-local-mode のシステムデフォルトに設定します。

--connect-timeout［<duration>］PORT スタイルデータ接続に応答するリモートクライアントのタイムアウト（秒単位）を指定します。有効な期間は 30～600 の間の整数です。デフォルト値は 60（1分）です。

--revert-connect-timeout値を--connect-timeout のシステムデフォルトに設定します。

--data-timeout［<duration>］リモートクライアントが削除されるまでにデータ転送が進行せずに中断できる最大時間（秒単位）を指定します。有効な期間は 30～600 の間の整数です。デフォルト値は 300（5分）です。

--revert-data-timeout値を--data-timeout のシステムデフォルトに設定します。

--denied-user-list［<string>］拒否されたユーザーの一覧を表示します。

--clear-denied-user-list拒否されたユーザーの一覧をクリアします。

--add-denied-user-list［<string>］ユーザーを拒否されたユーザーの一覧に追加します。

--remove-denied-user-list［<string>］ユーザーを拒否されたユーザーの一覧から削除します。

ファイル共有


--revert-denied-user-list値を--denied-user-list（空）のシステムデフォルトに設定します。

--dirlist-localtime {yes | no}

ディレクトリリストに表示される時間がローカルタイムゾーンかどうかを指定します。有効な値はYes と No です。No の場合、時間は GMT で表示されます。Yes の場合、時間はローカルタイムゾーンで表示されます。デフォルト値は No です。FTP シェルの内部で発行されたコマンドによって返された最終変更時刻も、このパラメータの影響を受けます。

--revert-dirlist-localtime値を--dirlist-localtime のシステムデフォルトに設定します。

--dirlist-names {numeric | textual | hide}

ディレクトリリスト内のユーザーとグループについて表示される情報を決定します。次が有効です。［numeric］

数値 ID がディレクトリリストのユーザーおよびグループフィールドに表示されます。

［textual］名前がディレクトリリストのユーザーおよびグループフィールドにテキスト形式で表示されます。

［hide］ディレクトリリスト内のすべてのユーザーおよびグループ情報が［ftp］として表示されます。これはデフォルト設定です。

--revert-dirlist-names値を--dirlist-names のシステムデフォルトに設定します。

--file-create-perm［<integer-octal>］アップロードされたファイルの作成に使用される権限を指定します。有効な値は 8進数の権限番号です。デフォルト値は 0666 です。

アップロードされたファイルが実行可能の場合、権限を［0777］に設定します。

--revert-file-create-perm値を--file-create-perm のシステムデフォルトに設定します。

--limit-anon-passwords {yes | no}

匿名パスワードを制限します。--revert-limit-anon-passwords

値を--limit-anon-passwords のシステムデフォルトに設定します。

--local-root-path［<path>］ローカルログインの最初のディレクトリを/ifs に指定します。有効なパスは/ifs です。デフォルトのパスはローカルユーザーホームディレクトリです。

ファイル共有


--revert-local-root-path値を--local-root-path のシステムデフォルトに設定します。

--local-umask［<integer-octal>］ローカルユーザーによるファイル作成の umask を指定します。有効な値は 8進数の umask番号です。デフォルト値は 077 です。

値は［0］プレフィックスを含める必要があります。それ以外の場合、値は 10進数の整数として扱われます。

--revert-local-umask値を--local-umask のシステムデフォルトに設定します。

--server-to-server {yes | no}

サーバー間（FXP）転送を許可するかどうかを指定します。有効な値は Yes と No です。デフォルト値は No です。

--revert-server-to-server値を--server-to-server のシステムデフォルトに設定します。

--session-support {yes | no}

FTP セッションのサポートを有効または無効にします。YES に設定すると、PAM（PluggableAuthentication Modules）によって各ユーザーのログインセッションが維持されます。NO に設定すると、自動ホームディレクトリ作成機能が他で使用可能になっている場合、その機能を禁止します。デフォルト値は YES です。

--revert-session-support値を--session-support のシステムデフォルトに設定します。

--session-timeout［<duration>］リモートクライアントが開始される前にリモートクライアントが FTP コマンド間で消費できる最大時間（秒単位）を指定します。有効な値は 30～600 の間の整数がです。デフォルト値は300（5分）です。

--revert-session-timeout値を--session-timeout のシステムデフォルトに設定します。

--user-config-dir［<path>］グローバル構成を上書きするユーザー固有の構成が見つかるディレクトリを指定します。デフォルト値はローカルユーザーホームディレクトリです。

--revert-user-config-dir値を--user-config-dir のシステムデフォルトに設定します。

--service {yes | no}

FTP サービスが有効になっているかどうかを指定します。

isi ftp settings view

クラスターの FTP設定を示します。

ファイル共有


構文

isi ftp settings view


例このコマンドによって生成された出力の例を次に示します。

Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: offChroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: Yes Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: No

HTTPおよび HTTPSOneFS には構成可能な HTTP（Hypertext Transfer Protocol）サービスが含まれており、クラスタ上に保存されているファイルのリクエストやWeb管理インターフェイスによる操作に使用できます。OneFS では、HTTP とそのセキュアなバリアントである HTTPS の両方がサポートされます。クラスタ内の各ノードでは、HTTP アクセスを提供するために Apache HTTP Server のインスタンスが実行されます。異なるモードで実行するように HTTP サービスを構成できます。ファイル転送では HTTP と HTTPS の両方がサポートされますが、プラットフォーム API コールではHTTPS のみサポートされます。HTTPS のみの要件には、Web管理インターフェイスが含まれます。また、OneFSは、特定の種類のWebDAV（Web ベース DAV）プロトコルをサポートしており、ユーザーはリモートWeb サーバ上のファイルの変更や管理を行うことができます。OneFSは分散オーサリングを実施しますが、バージョン管理をサポートしておらずセキュリティチェックも行いません。DAVは、Web管理インターフェイスで有効化できます。

ファイル共有

HTTP および HTTPS 553

HTTP の有効化と構成HTTP とWebDAV を構成し、ユーザーがリモートWeb サーバー全体でファイルを共同で編集および管理できるようにします。isi http settings modify コマンドを使用して、HTTP関連の設定を構成できます。

手順l isi http settings modify コマンドを実行します。

次のコマンドを実行すると、HTTP サービス、WebDAV、基本認証が有効になります。

isi http settings modify --service=enabled --dav=yes \basic-authentication=yes

Apache サービスを通じて HTTPS を有効化するHTTPS上で、Apache サービスを介して Isilon クラスタにアクセスできます。

手順l HTTPS を有効にするには、次のコマンドを実行します。

isi_gconfig -t http-config https_enabled=true

結果HTTPS サービスが有効化されます。

構成の変更が有効になるまで、最大で 10分かかる場合があります。その結果、HTTP経由で進行中のデータ転送が中断される可能性があります。

Apache サービスを通じて HTTPS を無効化するHTTPS上の Apache サービスを介した Isilon クラスタへのアクセスを無効化できます。

手順l HTTPS を無効化するには、次のコマンドを実行します。

isi_gconfig -t http-config https_enabled=false

結果HTTPS サービスが無効化されます。

構成の変更が有効になるまで、最大で 10分かかる場合があります。その結果、HTTP経由で進行中のデータ転送が中断される可能性があります。

isi http settings modify

HTTP グローバル設定を変更します。

ファイル共有


構文

isi http settings modify [--access control {yes | no}] [--basic-authentication {yes | no}] [--dav {yes | no}] [--enable-access-log {yes | no}] [--integrated-authentication {yes | no}] [--server-root ［<path>］] [--service {enabled | disabled | redirect}] [--verbose]

オプション--access control {yes | no}

アクセス制御の認証を有効化し、Apache Web サーバーへのアクセスチェックを実行できるようにします。アクセス制御の認証では、少なくとも 1 つのタイプの認証を有効化する必要があります。

--basic-authentication {yes | no}

HTTP基本認証を有効にします。ユーザー認証情報はプレーンテキスト形式で送信されます。

--dav {yes | no}

複数のユーザーがWeb サーバー全体でファイルを共同で管理および変更できるようになります。

すべての DAV クライアントが 1 つのノードを経由する必要があります。SmartConnect を経由する場合、または 2 つ以上のノードの IP アドレスを経由する場合、DAV コンプライアンスは遵守されません。

--enable-access-log {yes | no}

HTTP サーバーにアクセスすると、ログへの書き込みが可能になります。

--integrated-authentication {yes | no}

NTLM、Kerberos、またはその両方を経由する統合認証を有効化します。

--server-root［<path>］ルートドキュメントディレクトリを指定します。これは、/ifs内の有効なディレクトリパスである必要があります。

--service {enabled | disabled | redirect}

HTTP サービスを有効化または無効化するか、OneFS Web UI にリダイレクトします。

{--verbose | -v}


isi http settings view

HTTP グローバル設定を表示します。

ファイル共有

isi http settings view 555

構文

isi http settings view



Access Control: No Basic Authentication: No Dav: No Enable Access Log: YesIntegrated Authentication: No Server Root: /ifs Service: redirect

ファイル共有


第 12 章

ファイルフィルタリング機能


l アクセスゾーンでのファイルのフィルタリング................................................................ 558l アクセスゾーンでのファイルフィルタリングの有効化と構成........................................... 558l アクセスゾーンでのファイルフィルタリングの無効化.................................................... 558l ファイルフィルタリング設定の表示...........................................................................559l ファイルフィルタリングコマンド.................................................................................559

ファイルフィルタリング機能 557

アクセスゾーンでのファイルのフィルタリングアクセスゾーンでは、ファイルフィルタリングを使用して、ファイルタイプに基づいてファイルへの書き込みを許可または拒否できます。一部のファイルタイプが EMC Isilon クラスター上でスループットの問題、セキュリティの問題、ストレージクラッター、生産性の低下を引き起こす可能性があるか、または組織で特定のファイルポリシーに準拠する必要がある場合は、指定したファイルタイプへの書き込みを制限するか、指定されたファイルタイプのリストのみへの書き込みを許可できます。アクセスゾーンでファイルのフィルタリングを有効にすると、OneFSはそのアクセスゾーン内のファイルに対してのみ、ファイルフィルタリングルールを適用します。l ファイルへの書き込みを拒否する場合は、書き込みを行うことができないファイルタイプを拡張

子により指定できます。OneFS では、その他すべてのファイルタイプに書き込むことができます。l ファイルへの書き込みを許可する場合は、書き込みを行うことができるファイルタイプを拡張子に

より指定できます。OneFS では、その他すべてのファイルタイプへの書き込みが拒否されます。OneFSは、ファイルフィルタリングルールを適用するときにどのファイル共有プロトコルがアクセスゾーンへの接続に使用されたかを考慮しません。ただし、SMB共有レベルで追加のファイルフィルタリングを適用することができます。このガイドの「ファイル共有」の章にある「SMB ファイルのフィルタリング」を参照してください。

アクセスゾーンでのファイルフィルタリングの有効化と構成アクセスゾーンごとにファイルフィルタリングを有効化し、アクセスゾーン内でどのファイルタイプへの書き込みアクセスをユーザーに拒否または許可するかを指定できます。手順

1. isi file-filter settings modify コマンドを実行します。次のコマンドを実行すると、zone3 アクセスゾーンでのファイルフィルタリングが有効になり、ユーザーは特定のファイルタイプにのみ書き込みが許可されます。

isi file-filter settings modify --zone=zone3 \ file-filtering-enabled=yes file-filter-type=allow \ file-filter-extensions=.xml,.html,.txt

ファイルタイプは、拡張子によって指定され、「.」で開始する必要があります。たとえば、.txt。

次のコマンドを実行すると、zone3 でファイルフィルタリングが有効になり、ユーザーは特定のファイルタイプにのみ書き込みアクセスが拒否されます。

isi file-filter settings modify --zone=zone3 \ file-filtering-enabled=yes file-filter-type=deny \ file-filter-extensions=.xml,.html,.txt

アクセスゾーンでのファイルフィルタリングの無効化アクセスゾーンごとにファイルフィルタリングを無効化することができます。フィルタータイプとファイルタイプ拡張子を指定する以前の設定は保持されますが、適用できなくなります。



手順1. isi file-filter settings modify コマンドを実行します。次のコマンドを実行すると、zone3 アクセスゾーンでのファイルフィルタリングが無効になります。

isi file-filter settings modify --zone=zone3 \ file-filtering-enabled=no

ファイルフィルタリング設定の表示アクセスゾーンのファイルフィルタリングの設定を表示することができます。手順

1. isi file-filter settings view コマンドを実行します。次のコマンドを実行すると、zone3 アクセスゾーンのファイルフィルタリング設定が表示されます。

isi file-filter settings view --zone=zone3


File Filtering Enabled: YesFile Filter Extensions: xml, html, txt File Filter Type: deny

ファイルフィルタリングコマンドファイルフィルタリングコマンドを実行して、アクセスゾーン内のファイルタイプに基づきファイルへの書き込みを許可または拒否することができます。

isi file-filter settings modify

アクセスゾーンのファイルフィルタリング設定を変更します。

構文

isi file-filter settings modify [--file-filtering-enabled {yes | no}] [--revert-file-filtering-enabled] [--file-filter-extensions ［<string>］...] [--clear-file-filter-extensions] [--add-file-filter-extensions ［<string>］] [--remove-file-filter-extensions ［<string>］] [--revert-file-filter-extensions] [--file-filter-type {allow | deny}] [--revert-file-filter-type [--zone ［<string>］] [--verbose]

オプション--file-filtering-enabled {yes | no}


ファイルフィルタリング設定の表示 559

アクセスゾーンのファイルフィルタリングを有効化または無効化します。デフォルトでは、ファイルフィルタリングは無効になっています。

--revert-file-filtering-enabled--file-filtering-enabled の値をシステムのデフォルト値に設定します。

--file-filter-extensions［<string>...］ファイルタイプのリストを拡張子ごとに指定します。各拡張子は、.txt のように「.」で始める必要があります。コンマ区切りのリストで複数の拡張子を指定したり、拡張子ごとに--file-filter-extensions を実行したりできます。

--clear-file-filter-extensionsファイルフィルター拡張子のリスト全体を削除します。

--add-file-filter-extensions［<string>］1 つ以上のファイルフィルター拡張子をリストに追加します。各拡張子は、.txt のように「.」で始める必要があります。コンマ区切りのリストで複数の拡張子を指定したり、拡張子ごとに--add-file-filter-extensions を実行したりできます。

--remove-file-filter-extensions［<string>］1 つ以上のファイルフィルター拡張子をリストから削除します。各拡張子は、.txt のように「.」で始める必要があります。コンマ区切りのリストで複数の拡張子を指定したり、拡張子ごとに--remove-file-filter-extensions を実行したりできます。

--revert-file-filter-extensions--file-filter-extensions の値をシステムのデフォルト値に設定します。

--file-filter-type {allow | deny}

拡張子リストのファイルタイプが書き込みアクセスを許可または拒否されるかどうかを指定します。デフォルトのフィルタータイプは deny です。

--revert-file-filter-type--revert-file-filter-type の値をシステムのデフォルト値に設定します。

--zone［<string>］設定が適用されるアクセスゾーンを指定します。ゾーンを指定しない場合、設定はシステムゾーンに適用されます。

{--verbose | -v}


isi file-filter settings view

アクセスゾーンのファイルフィルタリング設定を表示します。

構文

isi file-filter settings view [--zone ［<string>］] [--format {list | json}]



オプション--zone

アクセスゾーンの名前を指定します。アクセスゾーンを指定しない場合は、システムゾーンのファイルフィルタリング設定が表示されます。


リスト（デフォルト）または JSON（JavaScript Object Notation）で出力を表示するかどうかを指定します。


isi file-filter settings view 561

第 13 章

監査とログ


l 監査の概要....................................................................................................... 564l システムログ........................................................................................................564l プロトコル監査イベント......................................................................................... 565l サポートされる監査ツール..................................................................................... 565l 複数の CEE サーバへのプロトコル監査イベントのデリバリ...........................................566l サポートされるイベントタイプ................................................................................. 566l 監査ログの例　................................................................................................... 568l 監査設定の管理................................................................................................ 568l EMC Common Event Enabler との統合..............................................................572l プロトコル監査イベントデリバリのトラッキング............................................................ 574l 監査コマンド....................................................................................................... 576

監査とログ 563

監査の概要EMC Isilon クラスタでシステム構成の変更およびプロトコルアクティビティを監査できます。すべての監査データはクラスタのファイルシステムに格納および保護され、監査トピックごとに整理されます。監査では、不正行為、不適切な資格の付与、不正アクセスの痕跡など、データ漏洩の原因となりうる多くの状況を検出できます。金融サービス、医療、ライフサイエンス、メディア、エンターテイメント、政府機関などの各業界のお客様は、データを消失から守るために策定された厳格な規制条件を満たさなくてはなりません。システム構成監査では、OneFS HTTP API によって処理されるすべての構成イベントがトラッキングされて記録されます。具体的には、CLI（コマンドラインインターフェイス）、Web管理インターフェイス、OneFS APIなどが対象になります。システム構成監査を有効にする際に、追加の構成は不要です。システム構成監査イベントは、config監査トピックディレクトリに保存されます。プロトコル監査は、SMB、NFS、HDFS プロトコル接続を通じて実行されるアクティビティを追跡し、格納します。クラスタ内の 1 つ以上のアクセスゾーンのプロトコル監査を有効にして構成できます。アクセスゾーンのプロトコル監査を有効化した場合、SMB、NFS、HDFS プロトコルを通じたファイルアクセスイベントはプロトコル監査トピックディレクトリに記録されます。各アクセスゾーンにログインするイベントを指定できます。たとえば、システムアクセスゾーンでは protocol イベントのデフォルトセットを監査し、別のアクセスゾーンではファイルの削除試行の成功のみ監査できます。監査イベントは、SMB、NFS、HDFS クライアントのアクティビティの開始元である個々のノードに記録されます。イベントは、/ifs/.ifsvar/audit/logs のバイナリファイルに格納されます。ログはサイズが 1 GB に達すると新しいファイルに自動的にロールオーバーされます。スペースを節約するために、ログは圧縮されます。protocol監査ログファイルは、EMC CEE（Common Event Enabler）をサポートする監査アプリケーションで使用できます。

システムログシステムログは、特定のイベント通知メッセージを伝達するために使用されるプロトコルです。監査イベントをログに記録し、システムログフォワーダーを使用してシステムログに転送するように Isilon クラスタを構成できます。デフォルトでは、イベントが発生したアクセスゾーンにかかわらず、特定のノードで発生したすべてのプロトコルイベントが/var/log/audit_protocol.log ファイルに転送されます。すべての構成監査イベントは、デフォルトで/var/log/audit_config.log にログが記録されます。システムログは、送信されてくる監査イベントのタイプに応じた ID で構成されます。ファシリティのdaemon と info の優先度レベルを使用します。プロトコル監査イベントは、ID がaudit_protocol というシステムログにログが記録されます。構成監査イベントは、ID がaudit_config というシステムログにログが記録されます。Isilon クラスタ上に監査を構成するには、root ユーザーであるか、監査権限（ISI_PRIV_AUDIT）を含む管理者ロールに割り当てられている必要があります。

システムログの転送システムログフォワーダーは、有効化されている場合にアクセスゾーン内の構成変更とプロトコル監査イベントを取得し、イベントをシステムログに転送するデーモンです。ユーザー定義監査の成功および失敗イベントだけがシステムログへの転送の対象となります。

監査とログ


各ノードで、同じノードのシステムログデーモンに監査イベントを記録する監査システムログフォワーダーデーモンが実行されています。

プロトコル監査イベントデフォルトでは、監査対象のアクセスゾーンでは、EMC Isilon クラスタ上の特定のイベントのみがトラッキングされます。この中には、ファイルおよびディレクトリへの成功したまたは失敗したアクセスの試みが含まれます。デフォルトでトラッキングされるイベントは、create、close、delete、rename、set_security です。生成されるイベントの名前は、すべての操作がファイルハンドルを取得するための create イベントで始まるWindows IRP（I/O要求パケット）モデルにおおまかに基づいています。以下を含む、すべての I/O操作の前に、create イベントが必要です。close、create、delete、get_security、read、rename、set_security、write。close イベントは、create イベントによって作成されたファイルハンドルの使用をクライアントが終了した時点を表します。

NFS および HDFS プロトコルでは、名前変更イベントと削除イベントが、作成イベントとクローズイベントで囲まれていない可能性があります。

これらの内部的に格納されるイベントは、EMC CEE経由で監査アプリケーションに転送されるイベントに変換されます。このマッピングは、OneFS上の EMC CEE エクスポート設備が実行します。EMC CEE を使用して、EMC CEE をサポートするサードパーティアプリケーションに接続できます。

EMC CEEは、HDFS プロトコルイベントのサードパーティアプリケーションへの転送をサポートしていません。

異なる SMB、NFS、HDFS クライアントは異なるリクエストを発行し、SMB を使用するWindowsやMac OS Xなどのプラットフォームの特定のバージョンはそれぞれ異なります。同様に、MicrosoftWordやWindows エクスプローラーなどのアプリケーションのバージョンの違いによって、プロトコルリクエストが違ってくる場合があります。たとえば、Windows エクスプローラーウィンドウが開いているクライアントは、そのウィンドウの自動または手動更新が発生すると、多数のイベントを生成する場合があります。アプリケーションは、ログインしているユーザーの資格情報でリクエストを発行しますが、すべてのリクエストが意図的なユーザーアクションであることは想定しないでください。有効化されている場合、OneFS監査は SMB共有、NFS エクスポート、HDFS データのファイルとディレクトリに行われたすべての変更をトラッキングします。

サポートされる監査ツールEMC CEE（Common Event Enabler）をサポートするサーバにプロトコル監査ログを送信するように OneFS を構成できます。

CEEは、複数のサードパーティソフトウェアベンダーで動作することがテストおよび検証されています。

OneFS監査機能を有効化する前に、サードパーティの監査アプリケーションをインストールして構成しておくことを推奨します。そうしないと、記録されたすべてのイベントが監査アプリケーションに転送されるため、大量のバックログにより最新のイベントの受信に遅延が発生します。

監査とログ

プロトコル監査イベント 565

複数の CEE サーバへのプロトコル監査イベントのデリバリOneFSは、EMC CEE サービスを実行している複数の CEE サーバへの、プロトコル監査イベントのコンカレントデリバリをサポートします。CEE サーバのサブセット全体で、HTTP 1.1接続を最大 20接続同期できます。EMC Isilon クラスタのノードごとに、デリバリ用の CEE サーバを 5台まで選択できます。CEE サーバはグローバル構成で共有され、各サーバの URI を OneFS構成に追加することによって、OneFS を使用して構成されます。CEE サーバを構成すると、EMC Isilon クラスタのノードが、CEE URI のソートされたリストから CEEサーバを自動的に選択します。サーバは、ソートされたリスト内のノードの論理ノード番号オフセットの順に選択されます。CEE サーバを使用できない場合は、次のサーバがソート順で選択されます。すべての接続が、選択されたサーバ間で均等に分散されます。CEE サーバが以前使用できなかったためにノードを移動した場合は、15分ごとに CEE サーバの可用性が確認されます。CEE サーバが使用可能になると、即座にノードが戻されます。CEE サーバを構成する前に、次のベストプラクティスに従ってください。l CEE サーバは各ノードに 1台にすることをお勧めします。選択した CEE サーバがオフラインにな

った場合にのみ、EMC Isilon クラスタのサイズより多い CEE サーバを使用することができます。

グローバル構成では、ノードごとに 1台の CEE サーバが必要です。

l CEE サーバの構成と、プロトコル監査の有効化は同時に行います。そうしないと、イベントのバックログが累積して、一時的に古いものがデリバリがされる可能性があります。

プロトコル監査イベントのデリバリ進行状況のグローバルビューを受信することも、isi auditprogress view コマンドを実行して進行状況の論理ノード番号ビューを受信することもできます。

サポートされるイベントタイプアクセスゾーンで監査されるイベントタイプを表示または変更できます。

イベント名プロトコルアクティビティの例

デフォルトで監査される

CEE を通じてエクスポート可能

CEE を通じてエクスポート不可

create l ファイルまたはディレクトリを作成する

l ファイル、ディレクトリ、共有を開く

l 共有をマウントするl ファイルを削除する

X X

監査とログ


イベント名プロトコルアクティビティの例

デフォルトで監査される

CEE を通じてエクスポート可能

CEE を通じてエクスポート不可

SMB プロトコルでは作成操作で削除するファイルを設定することができますが、監査ツールがイベントを記録できるようにするには削除イベントを有効化する必要があります。

close l ディレクトリを閉じるl 変更済みまたは未

変更のファイルを閉じる

X X

rename ファイルまたはディレクトリを名称変更する

X X

delete ファイルまたはディレクトリを削除する

X X

set_security ファイルまたはディレクトリの権限の変更を試行する

X X

read 開いているファイルハンドルでの最初の読み取り要求

X

write 開いているファイルハンドルでの最初の書き込み要求

X

get_security クライアントは開いているファイルハンドルのセキュリティ情報を読み取る

X

logon SMB セッションがクライアントによるリクエストを作成する

X

logoff SMB セッションのログオフ

X

tree_connect SMB が初めて共有へのアクセスを試行する

X

監査とログ

サポートされるイベントタイプ 567

監査ログの例　Isilon クラスタの任意のノードで isi_audit_viewer コマンドを実行することで、構成監査ログとプロトコル監査ログの両方を表示できます。

プロトコルアクセス監査ログを表示するには、isi_audit_viewer -t protocol を実行します。システム構成のログを表示するには isi_audit_viewer -t config を実行します。次の出力は、システム構成のログの例を示します。

[0: Fri Jan 23 16:17:03 2015] {"id":"524e0928-a35e-11e4-9d0c-005056302134","timestamp":1422058623106323,"payload":"PAPI config logging started."}

[1: Fri Jan 23 16:17:03 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058623112992,"payload":{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/protocols/smb/shares","method":"POST","args":"","body":{"path": "/ifs/data", "name": "Test"}}}

[2: Fri Jan 23 16:17:05 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058625144567,"payload":{"status":201,"statusmsg":"Created","body":{"id":"Test"}}}

[3: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659345539,"payload":{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/audit/settings","method":"PUT","args":"","body":{"config_syslog_enabled": true}}}

[4: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659387928,"payload":{"status":204,"statusmsg":"No Content","body":{}}}

構成監査イベントはペアになっています。［pre event］はコマンドの実行前にログに記録され、［post event］はイベントがトリガーされた後にログに記録されます。プロトコル監査イベントは、操作の完了後に、post event としてログに記録されます。構成監査イベントは、id フィールドを一致させることで関連づけることができます。

pre eventは常に最初に出現し、ユーザートークン情報、PAPIパス、PAPI コールに渡された引数を含みます。イベント 1 では、/1/protocols/smb/shares に対して引数 path=/ifs/data および name=Test を指定して POST リクエストが行われています。post event には、HTTP の戻りステータスとサーバーから返された出力が含まれます。

監査設定の管理EMC Common Event Enabler との統合の構成に加えて、システム構成およびプロトコルアクセス監査設定を有効化および無効化できます。

監査とログ


プロトコルアクセス監査の有効化SMB、NFS、HDFS プロトコルアクセスを監査してアクセスゾーンごとにイベントを生成し、このイベントをサードパーティ製品へのエクスポート用に EMC CEE（Common Event Enabler）に転送できます。

各監査イベントによってシステムリソースが消費されるため、監査アプリケーションで必要なイベントだけに関してゾーンを構成することを推奨します。また、OneFS監査機能を有効化する前に、サードパーティの監査アプリケーションをインストールして構成しておくことを推奨します。そうしないと、この機能によって実行される大量のバックログにより、結果がかなり長時間にわたり最新の状態にならないことがあります。また、isi audit settings global modify --cee-log-time コマンドを実行することで、監査イベントを転送する時間を手動で構成できます。

手順1. isi audit settings global modify コマンドを実行します。次のコマンドは、zone3 および zone5 アクセスゾーンのプロトコルアクセスイベントの監査を有効化し、ログに記録されたイベントを CEE サーバーに転送します。

isi audit settings global modify --protocol-auditing-enabled=yes \ --cee-server-uris=http://sample.com:12228/cee \ --hostname=cluster.domain.com --audited-zones=zone3,zone5

OneFSは監査プロトコルイベントのログを/ifs/.ifsvar/audit/logs内のバイナリファイルに記録します。CEE サービスは、HTTP PUT操作を通じてログに記録されたイベントを定義済みエンドポイントに転送します。

必要条件isi audit settings modify コマンドを実行して、監査されるプロトコルアクセスイベントのタイプを変更できます。また、プロトコルアクセスイベントのシステムログへの転送を有効にするには、isi audit settings modify コマンドを--syslog-forwarding-enabled オプションで実行します。

プロトコルアクセスイベントのシステムログへの転送監査プロトコルアクセスイベントを各アクセスゾーンのシステムログに転送する処理を有効化または無効化することができます。デフォルトでは、プロトコルアクセスの監査が有効化されている場合、転送は有効化されていません。この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。はじめにアクセスゾーンのプロトコルアクセスイベントの転送を有効化するには、最初にアクセスゾーンでのプロトコルアクセス監査を有効化する必要があります。

--audit-success オプションと--audit-failure オプションでは監査されるイベントタイプを定義し、--syslog-audit-events オプションではシステムログに転送されるイベントタイプを定義します。監査されるイベントタイプのみが、システムログへの転送の対象になります。システムログの転送が有効になっている場合、プロトコルアクセスイベントは/var/log/audit_protocol.log ファイルに書き込まれます。

監査とログ

プロトコルアクセス監査の有効化 569

手順1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi audit settings modify コマンドを--syslog-forwarding-

enabled オプションとともに実行して、監査システムログを有効化または無効化します。次のコマンドは、zone3 アクセスゾーンでの監査プロトコルアクセスイベントの転送を有効化し、転送されるイベントタイプが close、create、delete イベントのみであることを指定します。

isi audit settings modify --syslog-forwarding-enabled=yes --syslog-audit-events=close,create,delete --zone=zone3

次のコマンドは、zone3 アクセスゾーンからの監査プロトコルアクセスイベントの転送を無効化します。

isi audit settings modify --syslog-forwarding-enabled=no --zone=zone3

システム構成監査の有効化OneFSは、Isilon クラスタ上のシステム構成イベントを監査できます。有効にすると、OneFSは、書き込み、変更、削除を含む、プラットフォーム API によって処理されるすべてのシステム構成イベントを記録します。システム構成の変更ログは、/ifs/.ifsvar/audit の下の監査バックエンドストレージエリアの構成トピックに入力されます。

構成イベントは CEE（Common Event Enabler）には転送されません。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi audit settings global modify コマンドを実行します。

次のコマンドを実行すると、クラスタのシステム構成監査が有効になります。

isi audit settings global modify --config-auditing-enabled=yes

必要条件isi audit settings global modify コマンドの実行時に--config-syslog-enabled オプションを指定すると、システムログへのシステム構成変更の転送を有効化することができます。

監査ホスト名の設定必要に応じて、ユニファイドホスト名が必要なサードパーティ監査アプリケーションに監査ホスト名を設定することができます。これらのアプリケーションにホスト名を設定しないと、EMC Isilon クラスタ内の各ノードはそのホスト名をサーバ名として CEE サーバに送信します。そうでないと、構成された監査ホスト名がグローバルサーバ名として使用されます。手順

1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。

監査とログ


2. 監査ホスト名を設定するには、 isi audit settings global modify コマンドに--hostname オプションを設定して実行します。次のコマンドは、［mycluster］という監査ホスト名を設定します。

isi audit settings global modify --hostname=mycluster

プロトコル監査対象ゾーンの構成監査対象ゾーン内のプロトコル監査イベントのみが収集されて、CEE サーバに送信されます。そのため、監査イベントを送信するには、プロトコル監査対象ゾーンを構成する必要があります。手順

1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi audit settings global modify コマンドを-audited-zones オプショ

ンを指定して実行して、プロトコル監査対象ゾーンを構成します。次のコマンドは、［HomeDirectory］と［Misc］をプロトコル監査対象ゾーンとして構成します。

isi audit settings global modify --audited-zones=HomeDirectory,Misc

システム構成変更のシステムログへの転送EMC Isilon クラスター上のシステム構成の変更をシステムログ（/var/log/audit_config.log に保存）に転送する処理を有効化または無効化することができます。この手順は、コマンドラインインターフェイスを通じてのみ利用可能です。

はじめにデフォルトでは、システム構成の監査が有効化されている場合、転送は有効化されていません。システム構成変更のシステムログへの転送を有効化するには、まず、クラスターのシステム構成監査を有効化する必要があります。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi audit settings global modify コマンドを--config-syslog-

enabled オプションで実行して、システム構成の変更の転送を有効化または無効化します。次のコマンドは、システム構成変更のシステムログへの転送を有効化します。

isi audit settings global modify --config-syslog-enabled=yes

次のコマンドは、システム構成変更のシステムログへの転送を無効化します。

isi audit settings global modify --config-syslog-enabled=no

プロトコルのイベントフィルターの構成アクセスゾーンで監査されるプロトコルアクセスイベントのタイプをフィルタリングすることができます。正常なイベントや失敗したイベントのフィルターを作成することができます。次のプロトコルイベント

監査とログ

プロトコル監査対象ゾーンの構成 571

は、監査されるアクセスゾーンに対してデフォルトで収集されます。create、delete、rename、close、set_security。この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。はじめにプロトコルのイベントフィルターを作成するには、最初にアクセスゾーンでプロトコルアクセス監査を有効にする必要があります。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi audit settings modify コマンドを実行します。

次のコマンドは、zone3 アクセスゾーンでの create、close、delete イベントの失敗を監査するフィルターを作成します。

isi audit settings modify --audit-failure=create,close,delete --zone=zone3

次のコマンドは、zone5 アクセスゾーンでの create、close、delete イベントの成功を監査するフィルターを作成します。

isi audit settings modify --audit-success=create,close,delete --zone=zone5

EMC Common Event Enabler との統合OneFS を EMC CEE（Common Event Enabler）と統合すると、サードパーティ監査アプリケーションによりプロトコル監査ログを収集および解析できます。サポートされる監査ツールの最新リストについては、「Isilon Third-Party Software & HardwareCompatibility Guide」を参照してください。OneFSは、Windows向けの CEE の CEPA（Common Event Publishing Agent）コンポーネントをサポートしています。OneFS との統合では、サポートされているWindows クライアント上でWindows向けの CEE をインストールおよび構成する必要があります。

OneFS監査機能を有効化する前に、サードパーティの監査アプリケーションをインストールして構成しておくことを推奨します。そうしないと、この機能によって実行される大量のバックログにより、かなりの長時間にわたり結果が最新でなくなることがあります。

Windows用 CEE のインストールCEE を OneFS と統合するには、Windows オペレーティングシステムを実行中のコンピューターに最初に CEE をインストールする必要があります。

はじめに以下のステップで説明されているように、.iso ファイルからファイルを展開しておきます。処理に不慣れな場合は、次のいずれかの方法を選択してください。

1. アーカイブとして.iso ファイルを開くことができるWinRAR または他の適切なアーカイブプログラムをインストールし、ファイルをコピーする。

2. イメージを CD-ROM に焼き付けてから、ファイルをコピーする。

監査とログ


https://support.emc.com/docu45932


3. SlySoft Virtual CloneDrive をインストールする。これを使用すると、ファイルをコピーできるドライブとして ISO イメージをマウントできます。

最低 2台のサーバーにインストールする必要があります。 CEE 6.6.0以降をインストールすることを推奨します。

手順1. CEE フレームワークソフトウェアを EMC オンラインサポートからダウンロードします。

a. Web ブラウザーで、https://support.emc.com/search/に移動します。b. 検索フィールドで Common Event Enabler for Windows と入力し、次に［Search］アイコンをクリックします。

c.［Common Event Enabler <Version> for Windows］をクリックします。ここで、［<Version>］は 6.2以降です。次に指示に従って.iso ファイルを開くか保存します。

2. .iso ファイルから、必要とする 32 ビットまたは 64 ビットの EMC_CEE_Pack実行可能ファイルを展開します。展開が完了すると、［EMC Common Event Enabler］インストールウィザードが開きます。

3. ［Next］をクリックして［License Agreement］ページに進みます。4. ［I accept...］オプションをクリックして使用許諾契約書の条件に同意し、次に［Next］を

クリックします。5. ［Customer Information］ページで、ユーザー名と組織を入力してインストールプリファレ

ンスを選択し、次に［Next］をクリックします。6. ［Setup Type］ページで、［Complete］を選択し、次に［Next］をクリックします。7. ［Install］をクリックして、インストールを開始します。［Installing EMC Common Event Enabler］ページにインストールの進捗が表示されます。インストールが完了すると、［InstallShield Wizard Completed］ページが表示されます。

8. ［Finish］をクリックしてウィザードを終了します。9. システムを再起動します。

Windows用 CEE の構成Windows向けの CEE をクライアントコンピューターにインストールした後で、Windows レジストリエディター（regedit.exe）を使用して追加設定を構成する必要があります。手順

1. Windows レジストリエディターを開きます。2. 監査アプリケーションによってサポートされている場合は、次のレジストリキーを構成します。

設定レジストリの場所キー値

CEE HTTP

リスニングポート

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\Configuration]

HttpPort 12228

監査とログ

Windows用 CEE の構成 573

https://support.emc.com/search/

設定レジストリの場所キー値

リモートエンドポイントの監査の有効化

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

Enabled 1

リモートエンドポイントの監査

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

EndPoint ［<EndPoint

>］

l HttpPort値は、OneFS プロトコル監査構成時に指定した CEE URI のポートと一致する必要があります。

l EndPoint 値は［<EndPoint_Name>@<IP_Address>］の形式にする必要があります。各値をセミコロン（;）で区切ることで、複数のエンドポイントを指定できます。

次のキーでは、単一のリモートエンドポイントを指定します。[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint = [email protected]次のキーでは、複数のリモートエンドポイントを指定します。[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint [email protected];[email protected]

3. Windows レジストリエディターを閉じます。

プロトコル監査イベントデリバリのための CEE サーバ構成OneFS構成への各サーバの URI を追加することにより、OneFS を使用してプロトコル監査イベントをデリバリするように、CEE サーバを構成するできます。

手順l isi audit settings global modify コマンドを--cee-server-uris オプシ

ョンを設定して実行して、OneFS構成への CEE サーバの URI を追加します。

次のコマンドは、3台の CEE サーバの URI を OneFS構成に追加します。

isi audit settings global modify --cee-server-uris=http://server1.example.com:12228/vee,http://server2.example.com:12228/vee,http://server3.example.com:12228/vee

プロトコル監査イベントデリバリのトラッキングプロトコル監査イベントの収集プロセスと CEE サーバへのデリバリが、同時に行われることはありません。そのため、利用できる CEE サーバがない場合でも、プロトコル監査イベントの収集は継続され、後で CEE サーバにデリバリするために格納されています。最後に収集されたプロトコル監査イベントの時間と、CEE サーバに送信された最後のイベントのイベント時刻を表示することができます。CEE フォワーダーのログの位置を必要な時刻に移動することもできます。

監査とログ


CEE サーバおよびシステムログへのイベントデリバリのタイムスタンプの表示isi audit progress view コマンドを実行しているノードの CEE サーバとシステムログに対するイベントデリバリのタイムスタンプを表示することができます。

この設定は、コマンドラインインターフェイスを使用した場合にのみ使用できます。

手順l isi audit progress view コマンドを実行すると、コマンドを実行しているノードの

CEE サーバとシステムログに対するイベントデリバリのタイムスタンプを表示することができます。

isi audit progress view の出力例は次のとおりです。

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016

isi audit progress view コマンドに--lnn オプションを指定して実行すると、論理ノード番号で指定されたノードの監査イベントのデリバリのタイムスタンプが表示されます。

次のコマンドは、論理ノード番号［2］のノードの監査イベントのデリバリの進行状況を表示します。

isi audit progress view --lnn=2

次のような出力が表示されます。

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016

CEE サーバとシステムログへのプロトコル監査イベントのデリバリのグローバルビューを表示します

クラスタの最新のプロトコル監査イベントログの時刻を表示することが可能です。CEE サーバへの最も古い未送信プロトコル監査イベントのデリバリのタイムスタンプと、クラスタ内のシステムログへの最も古い未送信プロトコル監査イベントのデリバリのタイムスタンプも表示できます。

この設定は、コマンドラインインターフェイスを使用した場合にのみ使用できます。

手順l isi audit progress global view コマンドを実行して、CEE サーバへの最も古い

未送信プロトコル監査イベントのデリバリのタイムスタンプ、クラスタ内の最も古い未送信システムログのタイムスタンプを表示します。isi audit progress global view の出力例を次に示します。

Protocol Audit Latest Log Time: Fri Sep 2 10:06:36 2016Protocol Audit Oldest Cee Time: Fri Sep 2 10:02:28 2016Protocol Audit Oldest Syslog Time: Fri Sep 2 10:02:28 2016

CEE フォワーダーのログの位置の移動現在時刻と比較して監査ログのイベント時間に遅延がある場合、CEE フォワーダーのログの位置を移動することができます。EMC Isilon クラスタ内の CEE フォワーダーのすべてのログのイベント時間が、最も近い時刻にグローバルに移動します。

監査とログ

CEE サーバおよびシステムログへのイベントデリバリのタイムスタンプの表示 575

スキップされるイベントは、まだクラスタで利用可能な場合でも、CEE サーバに転送されません。

手順l isi audit settings global modify コマンドを--cee-log-time オプションを

指定して実行すると、CEE フォワーダーのログの位置が移動します。次のコマンドは、CEE フォワーダーのログの位置を手動で移動します。

isi audit settings global modify --cee-log-time='protocol@2016-01-27 01:03:02'

プロトコル監査イベントの CEE サーバへのデリバリ率の表示プロトコル監査イベントの CEE サーバへのデリバリ率を表示することができます。手順l isi statistics query コマンドを実行すると、EMC Isilon ノードの CEE サーバへのプ

ロトコル監査イベントの現在のデリバリ率を表示します。次のコマンドを実行すると、CEE サーバへのプロトコル監査イベントの現在のデリバリ率が表示されます。

isi statistics query current list --keys=node.audit.cee.export.rate

次のような出力が表示されます。

Node node.audit.cee.export.rate--------------------------------- 1 3904.600000---------------------------------Total: 1

監査コマンドEMC Isilon クラスターでのシステム構成イベントと SMB、NFS、HDFS プロトコルアクセスイベントを監査できます。すべての監査データは、監査トピックというファイルに格納されます。監査トピックは、Windows用の監査ツールによってさらに処理できるログ情報を収集します。

isi audit settings global modify

グローバル監査構成の変更およびプロトコルアクセスを有効化または無効化し、EMC Isilon クラスタに追加のプロトコル監査設定を構成します。

構文

isi audit settings global modify [--protocol-auditing-enabled {yes | no}] [--audited-zones ［<zones>］] [--clear-audited-zones] [--add-audited-zones ［<zones>］] [--remove-audited-zones ［<zones>］]

監査とログ


[--cee-server-uris ［<uris>］] [--clear-cee-server-uris] [--add-cee-server-uris ［<uris>］] [--remove-cee-server-uris ［<uris>］] [--hostname ［<string>］] [--config-auditing-enabled {yes | no}] [--config-syslog-enabled {yes | no}] [--cee-log-time ［<string>］] [--syslog-log-time ［<string>］] [--verbose]

オプション--protocol-auditing-enabled {yes | no}

SMB、NFS、HDFS プロトコルを通じたデータアクセスリクエストの監査を有効化または無効化します。

--audited-zones［<access zones>］プロトコル監査が有効な場合に監査する 1 つまたは複数のアクセスゾーン（コンマ区切り）を指定します。このオプションは、アクセスゾーンのリストのすべてのエントリーを上書きします。現在のエントリーに影響を与えずにアクセスゾーンを追加または削除するには、--add-audited-zones または--remove-audited-zones を使用します。

--clear-audited-zonesプロトコル監査が有効になっている場合に監査されるアクセスゾーンの全リストをクリアします。

--add-audited-zones［<access zones>］プロトコル監査が有効な場合に監査されるゾーンのリストに 1 つまたは複数のアクセスゾーン（コンマ区切り）を追加します。

--remove-audited-zones［<access zones>］プロトコル監査が有効な場合に監査する 1 つまたは複数のアクセスゾーン（コンマ区切り）を削除します。

--cee-server-uris［<uris>］プロトコル監査が有効化されている場合に監査ログが転送される 1 つ以上の CEE サーバURI（コンマ区切り）を指定します。OneFS CEE エクスポートサービスは、イベントを複数のCEE サーバにエクスポートするときにラウンドロビンロードバランシングを使用します。このオプションは、CEE サーバ URI のリスト内のすべてのエントリーを上書きします。現在のエントリーに影響を与えずに URI を追加または削除するには、--add-cee-server-uris または--remove-cee-server-uris を使用します。

--clear-cee-server-urisプロトコル監査が有効な場合に監査ログが転送される CEE サーバ URI の全リストをクリアします。

--add-cee-server-uris［<uris>］プロトコル監査が有効化されている場合に監査ログが転送される URI のリストに 1 つ以上のCEE サーバ URI（コンマ区切り）を追加します。

--remove-cee-server-uris［<uris>］プロトコル監査が有効化されている場合に監査ログが転送される URI のリストから、1 つ以上の CEE サーバ URI（コンマ区切り）を削除します。

監査とログ

isi audit settings global modify 577

--hostname［<string>］プロトコルイベントを転送するときに使用するストレージクラスタの名前（通常はSmartConnect ゾーン名）を指定します。SmartConnect が実装されていない場合、値はサードパーティ監査アプリケーションが認識しているクラスタのホスト名と一致する必要があります。フィールドが空白のままの場合、各ノードからのイベントにはノード名が入力されます（clustername + lnn）。この設定が必要になるのは、サードパーティの監査アプリケーションで必要な場合だけです。

--config-auditing-enabled {yes | no}

システム構成変更の API を通じて行われたリクエストの監査を有効化または無効化します。

--config-syslog-enabled {yes | no}

システムログへのシステム構成変更の転送を有効化または無効化します。

--cee-log-time［<date>］監査 CEE フォワーダーがプロトコルアクセスログの転送を開始する日付を指定します。［<date>］を次の形式で指定します。

[protocol]@<YYYY>-<MM>-<DD> <HH>:<MM>:<SS>

--syslog-log-time［<date>］監査システムログフォワーダーがログの転送を開始する日付を指定します。SMB、NFS、HDFS トラフィックログを転送するには、［protocol］を指定します。構成の変更ログを転送するには、［config］を指定します。［<date>］は次の形式で指定します。

[protocol|config]@<YYYY>-<MM>-<DD> <HH>:<MM>:<SS>

{--verbose | -v}


isi audit settings global view

EMC Isilon クラスター上に構成されたグローバル監査設定を表示します。

構文



例次のコマンドを実行すると、クラスター上に構成された監査設定が表示されます。


次のテキストのような出力が表示されます。

監査とログ


Protocol Auditing Enabled: Yes Audited Zones: System, zoneA CEE Server URIs: http://example.com:12228/cee Hostname: mycluster Config Auditing Enabled: Yes Config Syslog Enabled: Yes

isi audit settings modify

アクセスゾーンで成功または失敗するプロトコルイベントタイプに対してアクセスゾーン内にフィルターを設定し、システムログに転送するイベントタイプを指定することができます。

構文

isi audit settings modify [--audit-failure ［<event types>］] [--clear-audit-failure] [--add-audit-failure ［<event types>］] [--remove-audit-failure ［<event types>］] [--audit-success ［<event types>］] [--clear-audit-success] [--add-audit-success ［<event types>］] [--remove-audit-success ［<event types>］] [--syslog-audit-events ［<event types>］] [--clear-syslog-audit-events] [--add-syslog-audit-events ［<event types>］] [--remove-syslog-audit-events ［<event types>］] [--syslog-forwarding-enabled {yes | no}] [--zone［<access zone>］] [--verbose]

オプション--audit-failure［<event types>］

失敗した監査プロトコルイベントタイプの 1 つまたは複数のフィルター（コンマ区切り）を指定します。以下のイベントタイプが有効です。

l ［close］l ［create］l ［delete］l ［get_security］l ［logoff］l ［logon］l ［read］l ［rename］l ［set_security］l ［tree_connect］l ［write］l ［all］

監査とログ

isi audit settings modify 579

このオプションは、フィルターされたイベントタイプの現在のリストを上書きします。現在のリストに影響を与えずにフィルターを追加または削除するには、--add-audit-failure または--remove-audit-failure を使用して設定を行います。

--clear-audit-failure失敗した監査プロトコルイベントタイプのすべてのフィルターをクリアします。

--add-audit-failure［<event types>］失敗した監査プロトコルイベントタイプの 1 つまたは複数のフィルター（コンマ区切り）を追加します。有効なイベントタイプの値は--audit-failure の値と同じです。

--remove-audit-failure［<event types>］失敗した監査プロトコルイベントタイプの 1 つまたは複数のフィルター（コンマ区切り）を削除します。有効なイベントタイプの値は--audit-failure の値と同じです。

--audit-success［<event types>］成功した監査プロトコルイベントタイプの 1 つまたは複数のフィルター（コンマ区切り）を指定します。以下のイベントタイプが有効です。

l ［close］l ［create］l ［delete］l ［get_security］l ［logoff］l ［logon］l ［read］l ［rename］l ［set_security］l ［tree_connect］l ［write］l ［all］このオプションは、フィルターされたイベントタイプの現在のリストを上書きします。現在のリストに影響を与えずにフィルターを追加または削除するには、--add-audit-success または--remove-audit-success を使用して設定を行います。

--clear-audit-success成功した監査プロトコルイベントタイプのすべてのフィルターをクリアします。

--add-audit-success［<event types>］成功した監査プロトコルイベントタイプの 1 つまたは複数のフィルター（コンマ区切り）を追加します。有効なイベントタイプの値は--audit-success の値と同じです。

--remove-audit-success［<event types>］成功した監査プロトコルイベントタイプの 1 つまたは複数のフィルター（コンマ区切り）を削除します。有効なイベントタイプの値は--audit-success の値と同じです。

--syslog-audit-events［<event types>］

監査とログ


システムログに転送する監査プロトコルイベントタイプを指定します。syslog-audit-events および、--audit-success または--audit-failure の両方に一致するイベントのみがシステムログに転送されます。以下のイベントタイプが有効です。

l ［close］l ［create］l ［delete］l ［get_security］l ［logoff］l ［logon］l ［read］l ［rename］l ［set_security］l ［tree_connect］l ［write］l ［all］このオプションは、転送されたイベントタイプの現在のリストを上書きします。現在のリストに影響を与えずにイベントタイプを追加または削除するには、--add-syslog-audit-events または--remove-syslog-audit-events を使用して設定を行います。

--clear-syslog-audit-eventsシステムログに転送されるすべての監査プロトコルイベントタイプをクリアします。

--add-syslog-audit-events［<event types>］システムログに転送される 1 つまたは複数の監査プロトコルイベントタイプ（コンマ区切り）を追加します。有効なイベントタイプの値は--syslog-audit-events の値と同じです。

--remove-syslog-audit-events［<event types>］システムログに転送される 1 つまたは複数の監査プロトコルイベントタイプ（コンマ区切り）を削除します。有効なイベントタイプの値は--syslog-audit-events の値と同じです。

--syslog-forwarding-enabled {yes | no}

指定されたアクセスゾーンの監査イベントのシステムログ転送を有効または無効にします。

--zone［<access zones>］イベントタイプフィルターが適用されるか、またはシステムログに転送されるアクセスゾーンを指定します。

{--verbose | -v}


各監査対象イベントはシステムリソースを消費するため、監査アプリケーションによってサポートされるイベントのみログに記録する必要があります。

監査とログ

isi audit settings modify 581

isi audit settings view

アクセスゾーンの監査フィルター設定とシステムログの転送が有効になっているかどうかを表示します。

構文

isi audit settings view[--zone［<access zone>］][--verbose]

オプション--zone［<access zone>］

表示するアクセスゾーンの名前を指定します。

例次のコマンドを実行すると、zoneA アクセスゾーンに構成された監査設定が表示されます。

isi audit settings view --zone=zoneA

次のテキストのような出力が表示されます。

Audit Failure: create, delete, rename, set_security, closeAudit Success: create, delete, rename, set_security, close

Syslog Audit Events: closeSyslog Forwarding Enabled: No

isi audit topics list

監査データの内部コレクションである、構成された監査トピックのリストを表示します。

構文

isi audit topics list[--limit ［<integer>］][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]





{--no-header | -a}

監査とログ



{--no-footer | -z}


{--verbose | -v}


isi audit topics modify

監査トピックのプロパティを変更します。

構文

isi audit topics modify ［<name>］ [--max-cached-messages ［<integer>］] [--verbose]


変更する監査の名前を指定します。有効な値は、［protocol］および［config］です。

--max-cached-messages［<integer>］パーシステントストアに書き込む前にキャッシュする監査メッセージの最大数を指定します。数値が大きいほど、より効率的に監査イベントを処理できます。0 を指定した場合は、各監査イベントが同期的に送信されます。

{--verbose | -v}


isi audit topics view

監査トピックのプロパティを表示します。

構文

isi audit topics view ［<name>］


プロパティを表示する監査トピックの名前を指定します。有効な値は、［protocol］および［config］です。

isi audit progress view

現在のノードの CEE サーバおよびシステムログへのプロトコル監査イベントの配信の進行状況を表示します。これはデフォルト表示です。論理ノード番号を指定することで、現在のノードのプロトコル監査イベントの配信の進行状況を表示することもできます。

監査とログ

isi audit topics modify 583

構文

isi audit progress view[--lnn ［<integer>］]

オプション--lnn［<integer>］

CEE サーバおよびシステムログへのプロトコル監査イベントの配信の進行状況を示す論理ノード番号を表示します。この表示には、最後に収集されたプロトコル監査イベントのタイムスタンプ、およびノードに対応する CEE サーバおよびシステムログへ最後に送信されたイベントのタイムスタンプが含まれています。

次のコマンドを実行すると、現在のノードの CEE サーバおよびシステムログへのプロトコル監査イベントの配信の進行状況が表示されます。

isi audit progress view

OneFS に、次のテキストのような出力が表示されます。

Protocol Audit Log Time: Fri Jul 29 13:32:38 2016 Protocol Audit Cee Time: Fri Jul 29 13:32:38 2016Protocol Audit Syslog Time: Fri Jul 29 17:00:28 2016

次のコマンドを実行すると、CEE サーバおよびシステムログへのプロトコル監査イベントの配信の進行状況を示す論理ノード番号が表示されます。

isi audit progress view --lnn=2

OneFS に、次のテキストのような出力が表示されます。

Protocol Audit Log Time: Fri Jul 29 13:32:38 2016 Protocol Audit Cee Time: Fri Jul 29 13:32:38 2016Protocol Audit Syslog Time: Fri Jul 29 17:00:28 2016

isi audit progress global view

クラスタの最新のプロトコル監査イベントログの時刻を表示します。CEE サーバへの最も古い未送信プロトコル監査イベントの時刻と、クラスタ内のシステムログへの最も古い非転送プロトコル監査イベントの発生時刻も表示されます。

構文

isi audit progress global view

OneFS では、前述のコマンドを実行すると、次のテキストのような出力が表示されます。

監査とログ


Protocol Audit Latest Log Time: Fri Sep 2 10:06:36 2016 Protocol Audit Oldest Cee Time: Fri Sep 2 10:02:28 2016Protocol Audit Oldest Syslog Time: Fri Sep 2 10:02:28 2016

監査とログ

isi audit progress global view 585

監査とログ


第 14 章

スナップショット


l スナップショットの概要...........................................................................................588l SnapshotIQ によるデータ保護............................................................................. 588l スナップショットのディスク領域使用量......................................................................588l スナップショットスケジュール................................................................................... 589l スナップショットエイリアス....................................................................................... 589l ファイルとディレクトリのリストア................................................................................ 589l スナップショット作成のベストプラクティス.................................................................. 590l スナップショットスケジュール作成のベストプラクティス.................................................590l ファイルクローン................................................................................................... 591l スナップショットロック.............................................................................................592l スナップショット予約..............................................................................................593l SnapshotIQ ライセンスの機能..............................................................................593l SnapshotIQ を使用したスナップショットの作成........................................................ 593l スナップショットの管理 ..........................................................................................598l スナップショットデータのリストア............................................................................... 601l スナップショットスケジュールの管理......................................................................... 603l スナップショットエイリアスの管理............................................................................. 604l スナップショットロックの管理...................................................................................606l SnapshotIQ設定の構成 ................................................................................... 608l スナップショット予約の設定................................................................................... 609l 変更リストの管理................................................................................................ 610l スナップショットコマンド.......................................................................................... 612

スナップショット 587

スナップショットの概要OneFS スナップショットは、特定のポイントインタイムでクラスターに格納されるデータへの論理ポインターです。スナップショットは、クラスター上のディレクトリ、およびディレクトリとそのサブディレクトリに格納されているすべてのデータを参照します。スナップショットによって参照されているデータを変更した場合、スナップショットには、変更されたデータの物理コピーが格納されます。スナップショットは、ユーザーの仕様に応じて作成されるか、またはシステムオペレーションを容易にするために OneFS によって自動的に生成されます。スナップショットを作成および管理するには、クラスターで SnapshotIQ ライセンスをアクティブ化する必要があります。一部のアプリケーションを機能させるためには、スナップショットを生成する必要がありますが、SnapshotIQ ライセンスをアクティブ化する必要はありません。デフォルトでは、これらのスナップショットは、OneFS で必要とされなくなった時点で自動的に削除されます。ただし、SnapshotIQ ライセンスをアクティブ化した場合は、スナップショットを保持できます。他のモジュールによって生成されたスナップショットは、SnapshotIQ ライセンスをアクティブ化しなくても表示できます。名前または ID によってスナップショットを識別および検索できます。スナップショット名はユーザーが指定し、スナップショットを含む仮想ディレクトリに割り当てられます。スナップショット IDは、OneFSによってスナップショットに自動的に割り当てられる数値識別子です。

SnapshotIQ によるデータ保護SnapShotIQ ソフトウェアモジュールでスナップショットを作成して、データを保護できます。スナップショットで、削除および変更されたファイルをリストアできるようにすることにより、過失による削除や変更からデータを保護します。SnapshotIQ を使用するには、クラスター上で SnapshotIQ ライセンスをアクティブ化する必要があります。スナップショットは、時間とストレージ消費の両方の点において、個別の物理ストレージデバイスでデータをバックアップするよりも低コストです。データを別の物理デバイスに移動するために必要な時間は、移動するデータ量に応じて異なりますが、スナップショットは、スナップショットによって参照されるデータ量に関係なく、ほぼ瞬時に作成されます。さらに、スナップショットはローカルに使用できるため、エンドユーザーは、多くの場合、各自のデータをシステム管理者のサポートを必要とせずにリストアできます。変更されていないデータは、再度作成されるのではなく参照されるため、スナップショットが必要とする容量はリモートバックアップが必要とする容量よりも少なくなります。スナップショットは、ハードウェアやファイルシステムの問題からデータを保護するものではありません。スナップショットは、クラスターに格納されているデータを参照します。このため、クラスターのデータが使用不可になると、スナップショットも使用不可になります。このため、スナップショットの作成に加え、別の物理デバイスにデータをバックアップすることをお勧めします。

スナップショットのディスク領域使用量スナップショットが消費するディスク領域の量は、スナップショットによって格納されるデータ量と、スナップショットが他のスナップショットから参照するデータ量の両方に依存します。OneFS による作成の直後は、スナップショットが消費するディスク領域の容量はごくわずかです。スナップショットは、スナップショットによって参照されるデータが変更されない限り、追加のディスク領域を消費しません。スナップショットが参照するデータが変更された場合、スナップショットは、変更前のデータの読み取り専用コピーを格納します。スナップショットは、スナップショット作成時の状態にディレクトリの内容をリストアするために必要なスペースのみを消費します。



ディスク領域の使用量を削減するため、同じディレクトリを参照するスナップショットは相互参照を行い、古いスナップショットが新しいスナップショットを参照します。ファイルが削除されたときに、複数のスナップショットがそのファイルを参照している場合は、1 つのスナップショットがそのファイルのコピーを格納し、他のスナップショットは、コピーを格納しているスナップショットからファイルを参照します。報告されるスナップショットのサイズは、そのスナップショットによって格納されたデータ量のみを反映し、そのスナップショットによって参照されているデータ量は含まれません。スナップショットは、一定量のストレージ領域を消費しないため、スナップショットの作成に関する使用可能な領域の要件はありません。スナップショットのサイズは、スナップショットに含まれるデータの変更に応じて増大します。クラスターは、20,000 を超えるスナップショットを保持することはできません。

スナップショットスケジュールスナップショットは、スナップショットスケジュールに従って自動的に生成できます。スナップショットスケジュールでは、スナップショットを毎回手動で作成することなく、ディレクトリのスナップショットを定期的に生成できます。また、有効期限を割り当て、自動生成された各スナップショットを SnapshotIQ が削除するタイミングを決定することもできます。

スナップショットエイリアススナップショットエイリアスは、スナップショットの論理ポインターです。スナップショットスケジュールのエイリアスを指定した場合、エイリアスは常に、そのスケジュールで生成された最新のスナップショットを指します。スナップショットエイリアスを割り当てると、スナップショットスケジュールに従って生成された最新のスナップショットを迅速に識別およびアクセスできます。クライアントにエイリアスを通じたスナップショットへのアクセスを許可する場合、エイリアスを再割り当てしてクライアントを他のスナップショットにリダイレクトできます。スナップショットへのスナップショットエイリアスの割り当てに加えて、ファイルシステムのライブバージョンにスナップショットエイリアスを割り当てることもできます。これは、クライアントがスナップショットエイリアスを通じてスナップショットにアクセスしており、クライアントをファイルシステムのライブバージョンにリダイレクトする場合に役立つことがあります。

ファイルとディレクトリのリストアスナップショットからデータをコピーするか、スナップショットからファイルのクローン作成を行うか、スナップショット全体を戻すことで、スナップショットエイリアスによって参照されているファイルとディレクトリをリストアできます。スナップショットからファイルをコピーすると、ファイルが複製され、消費されるストレージ領域の量がほぼ倍増します。スナップショットではないディレクトリから元のファイルを削除した場合でも、ファイルのコピーはスナップショット内に残ります。スナップショットからファイルのクローンを作成した場合も、ファイルが複製されます。ただし、クラスター上で追加のスペースがすぐに消費されるコピーとは異なり、クローンを作成した場合は、クローンまたはクローン作成されたファイルが変更されない限り、クラスター上で追加のスペースが消費されません。スナップショットを元に戻すと、ディレクトリの内容がスナップショットに格納されたデータで置き換えられます。スナップショットを元に戻す前に、SnapshotIQは、置き換えられるディレクトリのスナップショットを作成します。これにより、スナップショットを元に戻す操作を後で取り消すことが可能になります。スナップショットを元に戻す操作は、ファイルとディレクトリに対して行った大量の変更を取り消す場合に役立ちます。ディレクトリのスナップショットが作成された後に、そのディレクトリで新しいファイルまたはディレクトリが作成された場合、これらのファイルとディレクトリは、スナップショットを戻すと削除されます。


スナップショットスケジュール 589

ディレクトリを移動する場合、ディレクトリが移動される前に取得されたディレクトリのスナップショットは復元できません。

スナップショット作成のベストプラクティス大量のスナップショットを取り扱う場合は、次のスナップショットのベストプラクティスを考慮してください。パフォーマンスの低下を回避するために、1 つのディレクトリに 1,000 を超えるスナップショットを作成しないことをお勧めします。ルートディレクトリのスナップショットを作成すると、そのスナップショットは、ルートディレクトリのすべてのサブディレクトリのスナップショットの合計数に加算されます。たとえば、/ifs/data のスナップショットを 500個と/ifs/data/media のスナップショットを 500個作成した場合、/ifs/data/media のスナップショットを 1,000個作成したことになります。他のスナップショットによってすでに参照されているディレクトリのスナップショットを作成しないでください。パフォーマンスの低下を回避するために、スナップショット内の各ファイルに 1,000 を超えるハードリンクは作成しないことをお勧めします。ディレクトリパスは、常にできるだけ浅くするようにします。スナップショットによって参照されるディレクトリの階層が深いほどパフォーマンスは低下します。ディレクトリツリーの上位にあるディレクトリのスナップショットを作成すると、そのスナップショットによって参照されているデータを変更するための時間が長くなり、スナップショットとディレクトリを管理するためにさらに多くのクラスタリソースが必要になります。ただし、ディレクトリツリーの下位のディレクトリのスナップショットを作成すると、より多くのスナップショットスケジュールが必要になり、管理が難しくなる可能性があります。/ifs または/ifs/data のスナップショットは作成しないことをお勧めします。クラスタ上で、一度に最大 20,000 のスナップショットを作成できます。ワークフローで多数のスナップショットが継続的に必要な場合、OneFS コマンドラインインターフェイスでスナップショットを管理するよりも、OneFS Web管理インターフェイスでスナップショットを管理する方が適切です。CLI には、さまざまなソートオプションとフィルタリングオプションがあり、リストをテキストファイルにリダイレクトすることもできます。スナップショットが不要になったら、削除するようにスナップショットをマークします。この時、SnapshotDelete システムジョブが有効になっていることを確認してください。SnapshotDelete ジョブが無効になっていると、未使用のディスク領域が解放されないだけでなく、時間の経過とともにパフォーマンス低下の原因になる可能性もあります。システムクロックが UTC（協定世界時）以外のタイムゾーンに設定されている場合、SnapshotIQは DST（夏時間）に一致するようにスナップショット保存期間を変更します。DST に入ると、DSTに合わせてスナップショット保存期間が 1時間増やされます。DST が終了すると、標準時間に合わせてスナップショット保存期間が 1時間減らされます。

スナップショットスケジュール作成のベストプラクティススナップショットスケジュール構成は、スナップショットの削除方法によって、順序削除と非順序削除に分類できます。順序削除は、ディレクトリの最も古いスナップショットの削除です。非順序削除は、ディレクトリの最も古いスナップショットではないスナップショットの削除です。非順序削除は、順序削除に比べ、完了までの時間がおよそ 2倍かかり、より多くのクラスターリソースを消費します。ただし、非順序削除は、少ない数のスナップショットを保持することで、スペースを節約できます。非順序削除と順序削除のどちらがメリットがあるかは、スナップショットによって参照されるデータの変更頻度によって決まります。データが頻繁に変更される場合は、非順序削除によってスペースが節



約されます。ただし、データが変更されない場合、非順序削除ではスペースが節約されない可能性が高いため、順序削除を実行してクラスターリソースを解放することをお勧めします。順序削除を実装するには、ディレクトリのすべてのスナップショットに対して同じ持続期間を割り当てます。スナップショットは、1件または複数のスナップショットスケジュールによって作成できます。ディレクトリのスナップショットが 1,000個を超えて作成されないことを常に確認してください。非順序スナップショット削除を実装するには、1 つのディレクトリに対して複数のスナップショットスケジュールを作成した後、各スケジュールに対して異なるスナップショット持続期間を割り当てます。可能であれば、すべてのスナップショットが同時に作成されることを確認します。次の表に、スナップショットのベストプラクティスに従ったスナップショットスケジュールを示します。

表 1 スナップショットスケジュール構成

削除タイプスナップショットの頻度

スナップショット時間スナップショットの有効期限

保持される最大スナップショット数

順序削除（大半の静的データ用）

毎時 12:00 AM開始、11:59 AM終了

1 か月 720

非順序削除（頻繁に変更されるデータ）

1時間おき 12:00 AM開始、11:59 PM終了

1日 27

毎日 12:00 AM 1週間

毎週土曜日 12:00 AM 1 か月

毎月第 1土曜日 12:00AM

3 か月

ファイルクローンSnapshotIQ を使用して、既存のファイルとブロックを共有するファイルクローンを作成し、クラスターの容量を節約できます。通常、ファイルクローンはファイルコピーの場合よりも消費する容量が少なく、作成時間も短くなります。スナップショットからファイルをクローンすることはできますが、クローンは主に内部で OneFS によって使用されます。クローンとクローンファイル間で共有されているブロックは、シャドウストアと呼ばれる隠しファイルに含まれています。クローンが作成されるとすぐに、クローンファイルに元々含まれていたすべてのデータがシャドウストアに転送されます。両方のファイルがシャドウストアからすべてのブロックを参照するため、2 つのファイルは元のファイルと同程度の容量しか消費しません。つまり、クローンによってクラスターの容量がさらに消費されることはありません。ただし、クローンファイルまたはクローンが変更されると、そのファイルとクローンはそれらの両方に共通するブロックしか共有しなくなるため、変更されたブロック、つまり共有されていないブロックによってクラスターの容量がさらに使用されるようになります。時間の経過とともに、シャドウストアに含まれている共有ブロックをファイルまたはクローンのどちらも参照しなくなる場合、それらのブロックは不要になる可能性があります。クラスターは、不要になったブロックを定期的に削除します。ShadowStoreDelete ジョブを実行すると、使用されていないブロックを、いつでもクラスターから強制的に削除することができます。クローンに ADS（代替データストリーム）を含めることはできません。代替データストリームを含むファイルのクローンを作成しても、そのクローンには代替データストリームは含まれません。


ファイルクローン 591

シャドウストアに関する考慮事項シャドウストアは、クローンファイルと重複排除ファイルによって参照される隠しファイルです。シャドウストアを参照するファイルは、他のファイルとは動作が異なります。l シャドウストア参照の読み取りは、データの直接的な読み取りよりも遅くなることがある。特に、

キャッシュされていないシャドウストア参照の読み取りは、キャッシュされていないデータの読み取りよりも遅くなります。キャッシュされているシャドウストア参照の読み取りには、キャッシュされているデータの読み取りと同程度の時間がかかります。

l シャドウストアを参照しているファイルが別の Isilon クラスターにレプリケートされるか、NDMP（ネットワークデータ管理プロトコル）バックアップデバイスにバックアップされるとき、ターゲットIsilon クラスターまたはバックアップデバイスにシャドウストアは転送されない。ファイルは、シャドウストアから参照しているデータが含まれているかのように転送されます。ターゲット Isilon クラスターまたはバックアップデバイスでは、ファイルは、シャドウストアを参照していない場合と同じスペースの容量を消費します。

l OneFSは、シャドウストアを作成するとき、そのシャドウストアを参照しているファイルのストレージプールにシャドウストアを割り当てます。シャドウストアが存在するストレージプールを削除すると、シャドウストアは、そのシャドウストアを参照している別のファイルによって占有されているプールに移動されます。

l OneFSは、シャドウストアブロックに対する最後の参照が削除された直後にそのブロックを削除しない。代わりに、OneFSは、未参照ブロックを削除する ShadowStoreDelete ジョブが実行されるまで待機します。大量の未参照ブロックがクラスター上に存在する場合、OneFSは、ShadowStoreDelete ジョブが実行されるまで、マイナスの重複排除による節約を報告することがあります。

l シャドウストアは、それを参照しているファイルの中で最も保護されているファイルと同じレベルで保護される。たとえば、シャドウファイルを参照する 1 つのファイルが+2 の保護のストレージプールに格納され、同じシャドウファイルを参照する別のファイルが+3 の保護のストレージプールに格納されている場合、シャドウストアは+3 で保護されます。

l クォータは、シャドウストアを参照するファイルを、そのファイルにシャドウストアから参照されるデータが含まれているかのように考慮する。クォータから見ると、シャドウストア参照は存在しません。ただし、クォータにデータ保護オーバーヘッドが含まれている場合、クォータにはシャドウストアのデータ保護オーバーヘッドは含まれません。

スナップショットロックスナップショットロックでは、スナップショットの削除が防止されます。スナップショットに、それに適用されている 1 つ以上のロックがある場合、そのスナップショットを削除することはできず、ロックされているスナップショットと見なされます。ロックされたスナップショットが期限切れとなっても、OneFSはそのスナップショットに設定されているすべてのロックが削除されるまで、スナップショットを削除しません。OneFSはスナップショットロックを適用することで、OneFS アプリケーションによって生成されたスナップショットが予定よりも早く削除されないようにします。このため、スナップショットロックを削除したり、スナップショットロックの期限を変更しないことをお勧めします。同時にスナップショットに適用できるロックの数には制限があります。スナップショットロックを作成すると、スナップショットの制限に達する場合があり、OneFS が必要なときにスナップショットロックを適用できなくなることがあります。このため、スナップショットロックを作成しないことをお勧めします。



スナップショット予約スナップショット予約を行うと、スナップショット専用のクラスターストレージ容量を最小パーセントだけ確保できます。これを指定すると、他のすべての OneFS動作が、スナップショット用に予約された割合のクラスター容量にアクセスできなくなります。

スナップショット予約によって、スナップショットがクラスターで使用できる容量が制限されることはありません。スナップショットは、スナップショット予約によって指定されたよりも多くの割合のストレージ容量を使用できます。スナップショット予約を指定しないことを推奨します。

SnapshotIQ ライセンスの機能スナップショットは、クラスター上で SnapshotIQ ライセンスをアクティブ化している場合のみ作成できます。ただし、OneFS による内部使用のために作成されたスナップショットとスナップショットロックは、SnapshotIQ ライセンスをアクティブ化しなくても表示できます。次の表に、SnapshotIQ ライセンスがアクティブ化されているかどうかに応じて使用できるスナップショット機能を示します。

機能非アクティブアクティブ

スナップショットおよびスナップショットスケジュールの作成

× 可

SnapshotIQ設定の構成 × 可

スナップショットスケジュールの表示

可可

スナップショットの削除可可

スナップショットデータへのアクセス

可可

スナップショットの表示可可

SnapshotIQ ライセンスが非アクティブになると、新しいスナップショットは作成できず、すべてのスナップショットスケジュールは無効化され、スナップショットまたはスナップショット設定は変更できません。ただし、スナップショットの削除と、スナップショットに含まれているデータへのアクセスは引き続き可能です。

SnapshotIQ を使用したスナップショットの作成スナップショットを作成するには、クラスターに SnapshotIQ ライセンスを構成する必要があります。スナップショットスケジュールを作成するか、または個々のスナップショットを手動で生成することで、スナップショットを作成できます。スナップショットをすぐに作成する必要がある場合やスナップショットスケジュールに指定していない時間の場合は、手動のスナップショットが便利です。たとえば、ファイルシステムの変更を予定していて、変更の結果に確信が持てない場合、変更前に現在のファイルシステムの状態をスナップショットに収集できます。


スナップショット予約 593

スナップショットを作成する前に、スナップショットの復元には、復元対象ディレクトリの SnapRevertドメインが存在している必要があることを考慮してください。ディレクトリのスナップショットの復元を予定している場合、ディレクトリの SnapRevert ドメインは、空のディレクトリで作成することが推奨されます。含まれるデータが少ないディレクトリのドメイン作成は少ない時間で済みます。

SnapRevert ドメインの作成ディレクトリを含むスナップショットを復元するには、まず対象ディレクトリの SnapRevert ドメインを作成する必要があります。ディレクトリの SnapRevert ドメインは、空のディレクトリで作成することが推奨されます。SnapRevert ドメインはスナップショットと同じルートパスに存在する必要があります。たとえば、ドメインのルートパスが/ifs/data/media の場合、ルートパス/ifs/data/media/archive でスナップショットを復元することはできません。 /ifs/data/media/archive を復元するには、/ifs/data/media/archive のルートパスで SnapRevert ドメインを作成する必要があります。手順

1. isi job jobs start コマンドを実行します。次のコマンドを実行すると、/ifs/data/media の SnapRevert ドメインが作成されます。

isi job jobs start domainmark --root /ifs/data/media \--dm-type SnapRevert

スナップショットスケジュールの作成スナップショットスケジュールを作成して、ディレクトリのスナップショットを継続的に生成することができます。手順

1. isi snapshot schedules create コマンドを実行します。次のコマンドを実行すると、/ifs/data/media のスナップショットスケジュールが作成されます。

isi snapshot schedules create hourly /ifs/data/media \HourlyBackup_%m-%d-%Y_%H:%M "Every day every hour" \--duration 1M

次のコマンドを実行すると、異なる期間で有効期限が切れる複数のスナップショットを生成する、/ifs/data/media の複数のスナップショットスケジュールが作成されます。

isi snapshot schedules create every-other-hour \/ifs/data/media EveryOtherHourBackup_%m-%d-%Y_%H:%M \"Every day every 2 hours" --duration 1Disi snapshot schedules create daily /ifs/data/media \Daily_%m-%d-%Y_%H:%M "Every day at 12:00 AM" --duration 1Wisi snapshot schedules create weekly /ifs/data/media \Weekly_%m-%d-%Y_%H:%M "Every Saturday at 12:00 AM" --duration 1M isi snapshot schedules create monthly /ifs/data/media \Monthly_%m-%d-%Y_%H:%M \"The 1 Saturday of every month at 12:00 AM" --duration 3M



スナップショットの作成ディレクトリのスナップショットを作成できます。手順

1. isi snapshot snapshots create コマンドを実行します。次のコマンドを実行すると、/ifs/data/media のスナップショットが作成されます。

isi snapshot snapshots create /ifs/data/media --name media-snap

スナップショットの命名パターンスナップショットの自動生成をスケジュールする場合、スナップショットのスケジュールまたはレプリケーションポリシーに従って、スナップショットの命名方法を指定するスナップショット命名パターンを割り当てる必要があります。スナップショット命名パターンには、スナップショットの作成方法と作成時期に関する情報を示す変数が含まれています。スナップショット命名パターンには次の変数を指定できます。

変数説明

%A 曜日。

%a 曜日の略称。たとえば、スナップショットが日曜日に生成される場合、%aは Sun に置き換えられます。

%B 月の名前。

%b 月の略称。たとえば、スナップショットが 9月（September）に生成される場合、%bは Sep に置き換えられます。

%C 年の最初の 2桁。たとえば、スナップショットが 2014

年に生成される場合、%Cは 20 に置き換えられます。

%c 日時。この変数は%a %b %e %T %Y を指定した場合に相当します。

%d 月の 2桁の日。

%e 月の特定の日。1桁の日の前にはスペースが付加されます。

%F 日付。この変数は%Y-%m-%d を指定した場合に相当します。

%G 年。この変数は%Y を指定した場合に相当します。ただし、スナップショットを作成する週のうち現在の年に該当する日数が 4日未満の場合、その週の大部分の日が含まれる年が表示されます。週の最初の日を月曜日として計算します。たとえば、スナップショットの作成日が 2017年 1月 1日（日曜日）の場合、この週のうち 2017年に該当する日は 1日のみであるため、%Gは 2016 に置き換えられます。


スナップショットの作成 595

変数説明

%g 年の略称。この変数は%y を指定した場合に相当します。ただし、スナップショットを作成する週のうち現在の年に該当する日数が 4日未満の場合、その週の大部分の日が含まれる年が表示されます。週の最初の日を月曜日として計算します。たとえば、スナップショットの作成日が 2017年 1月 1日（日曜日）の場合、この週のうち 2017年に該当する日は 1日のみであるため、%gは 16 に置き換えられます。

%H 時間。時間を 24時間制で表します。1桁の時間の前には 0 が付加されます。たとえば、スナップショットの作成時刻が午前 1時 45分の場合、%Hは 01に置き換えられます。

%h 月の略称。この変数は%b を指定した場合に相当します。

%I 時間を 12時間制で表します。1桁の時間の前には0 が付加されます。たとえば、スナップショットの作成時刻が午後 1時 45分の場合、%Iは 01 に置き換えられます。

%j 年の数値形式の日。たとえば、スナップショットの作成日が 2月 1日の場合、%jは 32 に置き換えられます。

%k 時間を 24時間制で表します。1桁の時間の前にはスペースが付加されます。

%l 時間を 12時間制で表します。1桁の時間の前にはスペースが付加されます。たとえば、スナップショットの作成時刻が午前 1時 45分の場合、%Iは 1 に置き換えられます。

%M 2桁の分。

%m 2桁の月。

%p AM または PM。%{PolicyName} スナップショットの作成対象となるレプリケーションポリ

シー。この変数は、レプリケーションポリシーのスナップショット命名パターンを指定する場合にのみ有効です。

%R 時刻。この変数は%H:%M を指定した場合に相当します。

%r 時刻。この変数は%I:%M:%S %p を指定した場合に相当します。

%S 2桁の秒。

%s 秒は UNIX または POSIX時刻で表されます。

%{SrcCluster} スナップショットの作成対象となるレプリケーションポリシーのソースクラスターの名前。この変数は、レプリケ



変数説明

ーションポリシーのスナップショット命名パターンを指定する場合にのみ有効です。

%T 時刻。この変数は%H:%M:%S を指定した場合に相当します。

%U 年の週を表す 2桁の数値。00 から 53 までの値の範囲。週の最初の日を日曜日として計算します。

%u 曜日を表す数値。1 から 7 までの値の範囲。週の最初の日を月曜日として計算します。たとえば、スナップショットの作成日が日曜日の場合、［%u］は 7 に置き換えられます。

%V スナップショットが作成された年の週を表す 2桁の数値。01 から 53 までの値の範囲。週の最初の日を月曜日として計算します。1月 1日の週の日数が 4

日以上ある場合、その週はその年の最初の週として扱われます。

%v スナップショットが作成された日。この変数は%e-%b-%Y を指定した場合に相当します。

%W スナップショットが作成された年の週を表す 2桁の数値。00 から 53 までの値の範囲。週の最初の日を月曜日として計算します。

%w スナップショットを作成した曜日を表す数値。0 から6 までの値の範囲。週の最初の日を日曜日として計算します。たとえば、スナップショットの作成日が日曜日の場合、%wは 0 に置き換えられます。

%X スナップショットが作成された時刻。この変数は%H:%M:%S を指定した場合に相当します。

%Y スナップショットが作成された年。

%y スナップショットが作成された年の最後の 2桁。たとえば、スナップショットが 2014年に生成された場合、［%y］は 14 に置き換えられます。

%Z スナップショットが作成されたタイムゾーン。

%z スナップショットが作成されたタイムゾーンの UTC（協定世界時）からのオフセット。プラス記号が前に付いている場合、タイムゾーンは UTC の東にあることを示します。マイナス記号が前に付いている場合、タイムゾーンは UTC の西にあることを示します。

%+ スナップショットが作成された日時。この変数は%a%b %e %X %Z %Y を指定した場合に相当します。

%% パーセント記号をエスケープする。たとえば、100%%

は 100%に置き換えられます。


スナップショットの命名パターン 597

スナップショットの管理スナップショットを削除したり表示したりすることができます。また、既存のスナップショットの名前、保存期間、スナップショットエイリアスを変更できます。ただし、スナップショットに含まれているデータを変更することはできません。スナップショットに含まれているデータは読み取り専用です。

スナップショットのディスク領域使用量の削減複数のスナップショットを同じディレクトリに格納している場合、1 つのスナップショットを削除しても、システムによってそのスナップショットのサイズとして報告された領域全体が解放されないことがあります。スナップショットのサイズは、スナップショットを削除した場合に解放される可能性があるデータの最大量を示します。スナップショットを削除すると、そのスナップショットが専用に使用していた領域のみが解放されます。2つのスナップショットが、格納された 1 つのデータを参照している場合、そのデータは、両方のスナップショットが削除されるまで解放されません。スナップショットには、ルートディレクトリのすべてのサブディレクトリに保存されているデータが格納されます。スナップショット 1 に/ifs/data/が保存され、スナップショット 2 に/ifs/data/dir が保存されている場合、この 2 つのスナップショットはデータを共有している可能性が高いと考えられます。ディレクトリを削除して再作成すると、ディレクトリ内のファイルを変更しなくても、そのディレクトリを含むスナップショットには再作成したディレクトリ全体が格納されます。同じディレクトリを含む複数のスナップショットを削除すると、異なるディレクトリを含む複数のスナップショットを削除する場合よりデータが解放される確率が高くなります。複数のスナップショットに同じディレクトリが格納されている場合、古いスナップショットを削除する方が新しいスナップショットを削除するよりディスク領域が解放される確率が高くなります。有効期限日を割り当てられたスナップショットは、スナップショットデーモンによって自動的に削除対象としてマークされます。デーモンが無効になっている場合、スナップショットはシステムによって自動削除されません。スナップショットデーモンを無効化しないことをお勧めします。

スナップショットの削除スナップショットに格納されているデータへのアクセスが不要になった場合は、スナップショットを削除できます。OneFS では、削除したスナップショットが占有しているディスク領域は、SnapshotDelete ジョブの実行時に解放されます。また、クローンまたはクローンファイルを含むスナップショットを削除した場合、シャドウストア内のデータはクラスター上のファイルによって参照されなくなる可能性があります。OneFS では、シャドウストア内の未参照のデータは、ShadowStoreDelete ジョブの実行時に削除されます。 OneFS では、シャドウストア削除ジョブと SnapshotDelete ジョブの両方が定期的に実行されますが、これらのジョブを随時手動で実行することもできます。

手順1. スナップショットを削除するには、isi snapshot snapshots delete コマンドを実行します。次のコマンドを実行すると、OldSnapshot という名前のスナップショットが削除されます。

isi snapshot snapshots delete OldSnapshot



2. (オプション) 削除されたスナップショットデータをクラスター上で解放する速度を高速化するには、次のコマンドを実行することによって SnapshotDelete ジョブを開始します。

isi job jobs start snapshotdelete

3. 重複排除されたクローンファイル間で共有されている削除データをクラスター上で解放する速度を高速化するには、次のコマンドを実行することによって ShadowStoreDelete ジョブを開始します。

isi job jobs start shadowstoredelete

スナップショット属性の変更スナップショットの名前と有効期限を変更できます。手順

1. isi snapshot snapshots modify コマンドを実行します。次のコマンドを実行すると、HourlyBackup_07-15-2014_22:00 の有効期限が 2014年7月 25日午後 1:30 に切れるようになります。

isi snapshot snapshots modify HourlyBackup_07-15-2014_22:00 \--expires 2014-07-25T01:30

スナップショットエイリアスの変更スナップショットのエイリアスを変更して別の名前をスナップショットに割り当てることができます。手順

1. isi snapshot snapshots modify コマンドを実行します。次のコマンドを実行すると、LastKnownGood のエイリアスがHourlyBackup_07-15-2013_22:00 に割り当てられます。

isi snapshot snapshots modify HourlyBackup_07-15-2013_22:00 \--alias LastKnownGood

スナップショットの表示スナップショットのリストまたは特定のスナップショットに関する詳細情報を表示できます。手順

1. 次のコマンドを実行して、すべてのスナップショットを表示します。

isi snapshot snapshots list


ID Name Path----------------------------------------------------------------


スナップショット属性の変更 599

---2 SIQ-c68839394a547b3fbc5c4c4b4c5673f9-latest /ifs/data/source6 SIQ-c68839394a547b3fbc5c4c4b4c5673f9-restore /ifs/data/target8 SIQ-Failover-newPol-2013-07-11_18-47-08 /ifs/data/target12 HourlyBackup_07-15-2013_21:00 /ifs/data/media14 HourlyBackup_07-15-2013_22:00 /ifs/data/media16 EveryOtherHourBackup_07-15-2013_22:00 /ifs/data/media18 HourlyBackup_07-15-2013_23:00 /ifs/data/media20 HourlyBackup_07-16-2013_15:00 /ifs/data/media22 EveryOtherHourBackup_07-16-2013_14:00 /ifs/data/media-------------------------------------------------------------------

2. (オプション) 特定のスナップショットに関する詳細情報を表示するには、isi snapshotsnapshots view コマンドを実行します。次のコマンドを実行すると、HourlyBackup_07-15-2013_22:00 に関する詳細情報が表示されます。

isi snapshot snapshots view HourlyBackup_07-15-2013_22:00


ID： 14 Name: HourlyBackup_07-15-2013_22:00 Path: /ifs/data/media Has Locks: No Schedule: hourly Alias: - Created: 2013-07-15T22:00:10 Expires: 2013-08-14T22:00:00 Size: 0bShadow Bytes: 0b % Reserve: 0.00%% Filesystem: 0.00% State: active

スナップショット情報isi snapshot snapshots list コマンドの出力を通じて、スナップショットに関する情報を表示できます。ID

スナップショットの ID。

Name

スナップショットの名前。

Path

スナップショットに含まれるディレクトリのパス。



スナップショットデータのリストアスナップショットデータをさまざまな方法でリストアできます。スナップショットの復元またはスナップショットディレクトリからスナップショットデータへのアクセスが可能です。スナップショットディレクトリから、ファイルのクローンを作成したり、ディレクトリまたはファイルをコピーしたりできます。スナップショットディレクトリには、Windows エクスプローラーまたは UNIX コマンドラインからアクセスできます。どの方法についても、スナップショット設定でスナップショットディレクトリへのアクセスを無効化または有効化することができます。

スナップショットの復元スナップショットが取得されたときの状態にディレクトリをリストアすることができます。はじめにl ディレクトリの SnapRevert ドメインを作成します。l ディレクトリのスナップショットを作成します。手順

1. (オプション) 復元するスナップショットの ID を識別するには、isi snapshotsnapshots view コマンドを実行します。次のコマンドを実行すると、HourlyBackup_07-15-2014_23:00 の ID が表示されます。

isi snapshot snapshots view HourlyBackup_07-15-2014_23:00


ID： 18 Name: HourlyBackup_07-15-2014_23:00 Path: /ifs/data/media Has Locks: No Schedule: hourly Alias: - Created: 2014-07-15T23:00:05 Expires: 2014-08-14T23:00:00 Size: 0bShadow Bytes: 0b % Reserve: 0.00%% Filesystem: 0.00% State: active

2. isi job jobs start コマンドを実行してスナップショットを復元します。次のコマンドを実行すると、HourlyBackup_07-15-2014_23:00 が復元されます。

isi job jobs start snaprevert --snapid 18

Windows エクスプローラーを使用したファイルまたはディレクトリのリストアコンピューターにMicrosoft シャドウコピークライアントがインストールされている場合、この機能を使用してスナップショットに保存されているファイルやディレクトリをリストアできます。このファイルおよびディレクトリのリストア方法では、元の権限は保存されません。代わりに、この方法では、ファイルまたはディレクトリに、そのファイルまたはディレクトリのコピー先ディレクトリと同じ権限が割り当てられます。スナップショットからのデータのリストア時に権限を保存するには、UNIX コマンドラインで cp コマンドを-a オプションとともに実行します。


スナップショットデータのリストア 601

Windows エクスプローラーで、最新のスナップショットから始まってディレクトリの最大 64個のスナップショットにアクセスできます。アクセスするディレクトリのスナップショットが 64個を超える場合は、UNIX コマンドラインを使用します。

手順1. Windows エクスプローラーで、リストアするディレクトリか、リストア対象のファイルが格納されているディレクトリに移動します。ディレクトリが削除されている場合は、ディレクトリを再作成する必要があります。

2. フォルダーを右クリックして［Properties］をクリックします。3. ［Properties］ウィンドウの［Previous Versions］タブをクリックします。4. リストアするフォルダーのバージョンか、リストア対象ファイルのバージョンが格納されているフォ

ルダーのバージョンを選択します。5. ファイルまたはディレクトリのバージョンをリストアします。

l 選択したディレクトリのすべてのファイルをリストアするには、［Restore］をクリックします。l 選択したディレクトリを別の場所にコピーするには、［Copy］をクリックし、ディレクトリのコピー先となる場所を指定します。

l 特定のファイルをリストアするには、［Open］をクリックし、対象ファイルを元のディレクトリにコピーして、既存のコピーをスナップショットバージョンに置き換えます。

UNIX コマンドラインを使用したファイルまたはディレクトリのリストアUNIX コマンドラインを使用して、スナップショットからファイルまたはディレクトリをリストアすることができます。手順

1. UNIX コマンドラインを使用してクラスターへの接続を開きます。2. (オプション) ファイルまたはディレクトリをリストアする元のスナップショットの内容を表示するに

は、スナップショットのルートディレクトリに含まれるディレクトリに対して ls コマンドを実行します。たとえば、次のコマンドを実行すると、Snapshot2014Jun04 に含まれている/archive ディレクトリの内容が表示されます。

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. cp コマンドを使用してファイルまたはディレクトリをコピーします。たとえば、次のコマンドは file1 ファイルのコピーを作成します。

cp -a /ifs/.snapshot/Snapshot2014Jun04/archive/file1 \ /ifs/archive/file1_copy

スナップショットからのファイルのクローンスナップショットからファイルのクローンを作成することができます。



手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. ファイルまたはディレクトリをリストアする元のスナップショットの内容を表示するには、スナップシ

ョットのルートディレクトリのサブディレクトリに対して ls コマンドを実行します。たとえば、次のコマンドを実行すると、Snapshot2014Jun04 に含まれている/archive ディレクトリの内容が表示されます。

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. cp コマンドに-c オプションを指定して実行し、スナップショットからファイルのクローンを作成します。たとえば、次のコマンドを実行すると、Snapshot2014Jun04 から test.txt のクローンが作成されます。

cp -c /ifs/.snapshot/Snapshot2014Jun04/archive/test.txt \/ifs/archive/test_clone.text

スナップショットスケジュールの管理スナップショットスケジュールを変更、削除、表示することができます。

スナップショットスケジュールの変更スナップショットスケジュールを変更できます。スナップショットスケジュールの変更は、変更後に生成されるスナップショットにのみ適用されます。既存のスナップショットは、スケジュールの変更の影響を受けません。スナップショットスケジュールのエイリアスを変更すると、変更後のエイリアスは、スケジュールに従って次回生成されるスナップショットに割り当てられます。ただし、この場合、前回のスナップショットに割り当てられた変更前のエイリアスは削除されません。前回のスナップショットに割り当てられた変更前のエイリアスは、手動で削除しない限り、そのまま維持されます。手順

1. isi snapshot schedules modify コマンドを実行します。次のコマンドを実行すると、作成後 15日で削除されるスナップショットスケジュールhourly_media_snap に従ってスナップショットが作成されます。

isi snapshot schedules modify hourly_media_snap --duration 15D

スナップショットスケジュールの削除スナップショットスケジュールを削除することができます。スナップショットスケジュールを削除しても、スケジュールに従って以前に生成されたスナップショットは削除されません。手順

1. isi snapshot schedules delete コマンドを実行します。


スナップショットスケジュールの管理 603

次のコマンドを実行すると、hourly_media_snap というスナップショットスケジュールが削除されます。

isi snapshot schedules delete hourly_media_snap

スナップショットスケジュールの表示スナップショットスケジュールを表示することができます。手順

1. 次のコマンドを実行してスナップショットスケジュールを表示します。



ID Name --------------------- 1 every-other-hour 2 daily 3 weekly 4 monthly ---------------------

2. (オプション) isi snapshot schedules view コマンドを実行して、特定のスナップショットスケジュールに関する詳細情報を表示します。

次のコマンドを実行すると、スナップショットスケジュール every-other-hour に関する詳細情報が表示されます。

isi snapshot schedules view every-other-hour


ID： 1 Name: every-other-hour Path: /ifs/data/media Pattern: EveryOtherHourBackup_%m-%d-%Y_%H:%M Schedule: Every day every 2 hours Duration: 1D Alias: - Next Run: 2013-07-16T18:00:00 Next Snapshot: EveryOtherHourBackup_07-16-2013_18:00

スナップショットエイリアスの管理スナップショットスケジュールによって最後に作成されたスナップショットにスナップショットエイリアスを割り当てるようにスナップショットスケジュールを構成できます。特定のスナップショットまたはファイルシステムのライブバージョンにスナップショットエイリアスを手動で割り当てることもできます。

スナップショットスケジュールのスナップショットエイリアスの構成スケジュールによって最後に作成されたスナップショットにスナップショットエイリアスを割り当てるようにスナップショットスケジュールを構成できます。

スナップショットスケジュールのエイリアスを構成すると、エイリアスは、スケジュールに従って次回生成されるスナップショットに割り当てられます。ただし、この場合、前回のスナップショットに割り当てられた変更前のエイリアスは削除されません。前回のスナップショットに割り当てられた変更前のエイリアスは、手動で削除しない限り、そのまま維持されます。手順

1. isi snapshot schedules modify コマンドを実行します。



次のコマンドを実行すると、スナップショットスケジュールWeeklySnapshot のエイリアスLatestWeekly が構成されます。

isi snapshot schedules modify WeeklySnapshot --alias LatestWeekly

スナップショットへのスナップショットエイリアスの割り当てスナップショットにスナップショットエイリアスを割り当てることができます。手順

1. isi snapshot aliases create コマンドを実行します。次のコマンドを実行すると、Weekly-01-30-2015 のスナップショットエイリアスが作成されます。

isi snapshot aliases create latestWeekly Weekly-01-30-2015

ライブファイルシステムへのスナップショットエイリアスの再割り当てスナップショットを再割り当てして、クライアントをスナップショットからライブファイルシステムにリダイレクトできます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi snapshot aliases modify コマンドを実行します。

次のコマンドを実行すると、latestWeekly エイリアスがライブファイルシステムに再割り当てされます。

isi snapshot aliases modify latestWeekly --target LIVE

スナップショットエイリアスの表示すべてのスナップショットエイリアスのリストを表示できます。

この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. 次のコマンドを実行して、すべてのスナップショットエイリアスのリストを表示します。

isi snapshot aliases list

スナップショットエイリアスがファイルシステムのライブバージョンを参照する場合、TargetIDは-1 です。

3. (オプション) isi snapshot aliases view コマンドを実行して、特定のスナップショットに関する情報を表示します。


スナップショットへのスナップショットエイリアスの割り当て 605

次のコマンドを実行すると、latestWeekly に関する情報が表示されます。

isi snapshot aliases view latestWeekly

スナップショットエイリアス情報isi snapshot aliases view コマンドの出力を通じて、スナップショットエイリアスに関する情報を表示できます。ID

スナップショットエイリアスの数値 ID。

Name

スナップショットエイリアスの名前。

ターゲット ID

エイリアスによって参照されているスナップショットの数値 ID。

Target Name

エイリアスによって参照されているスナップショットの名前。

Created

スナップショットエイリアスが作成された日付。

スナップショットロックの管理スナップショットロックの有効期限を削除、作成、変更できます。

スナップショットロックは、Isilon テクニカルサポートから指示されない限り、作成、削除、変更しないことをお勧めします。

OneFS によって作成されたスナップショットロックを削除すると、データが失われる可能性があります。OneFS によって作成されたスナップショットロックを削除すると、対応するスナップショットがまだOneFS で使用中であっても削除される可能性があります。OneFS が動作に必要なスナップショットにアクセスできない場合、誤動作を起こしてデータが消失することがあります。OneFS によって作成されたスナップショットロックの有効期限を変更することも、対応するスナップショットが早期に削除される可能性があるので、データ消失につながる場合があります。

スナップショットロックの作成スナップショットが削除されないように、スナップショットロックを作成することができます。

スナップショットロックを作成すると、スナップショットが自動的に削除されることを回避できますが、スナップショットロックを作成することは推奨されません。スナップショットが自動的に削除されないようにするには、スナップショットの保存期限を延長することを推奨します。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi snapshot locks create コマンドを実行してスナップショットロックを作成しま

す。



たとえば、次のコマンドは SnapshotApril2016 にスナップショットロックを適用し、ロックの有効期限を 1 か月に設定し、「Maintenance Lock」という説明を追加します。

isi snapshot locks create SnapshotApril2016 --expires 1M \--comment "Maintenance Lock"

スナップショットロックの有効期限の変更スナップショットロックの有効期限を変更することができます。

スナップショットロックの有効期限を変更しないことを推奨します。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi snapshot locks modify コマンドを実行します。

次のコマンドを実行すると、SnapshotApril2014 という名前のスナップショットに適用される、ID 1 のスナップショットロックに対して、有効期限が現在の日付から 2日後に設定されます。

isi snapshot locks modify SnapshotApril2014 1 --expires 2D

スナップショットロックの削除スナップショットロックを削除することができます。

スナップショットロックを削除しないことを推奨します。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi snapshot locks delete コマンドを実行してスナップショットロックを削除しま

す。次のコマンドは、SnapshotApril2014 に適用されていてロック ID が 1 であるスナップショットロックを削除します。

isi snapshot locks delete Snapshot2014Apr16 1

スナップショットロックの削除を確認するシステムプロンプトが表示されます。3. yes と入力し、Enter キーを押します。


スナップショットロックの有効期限の変更 607

スナップショットロック情報スナップショットロック情報は、isi snapshot locks view および isi snapshotlocks list コマンドで表示できます。ID

スナップショットロックの数値 ID番号。

Comment

スナップショットロックの説明。任意の文字列を指定できます。

Expires

OneFS によってスナップショットロックが自動的に削除される日付。

Count

スナップショットロックが保持された回数。ファイルクローン操作では、1 つのスナップショットロックを複数回保持できます。複数のファイルクローンが同時に作成された場合、ファイルクローン操作では複数のロックを作成する代わりに、同じロックを複数回保持します。複数回保持されたスナップショットロックを削除する場合、ロックが保持されたインスタンスのうち 1 つのみが削除されます。複数回保持されたスナップショットロックを削除するには、［Count］フィールドに表示された回数分だけスナップショットロックを削除する必要があります。

SnapshotIQ設定の構成スナップショットの作成方法やユーザーによるスナップショットデータへのアクセス方法を決定するSnapshotIQ設定を構成できます。手順

1. (オプション) 次のコマンドを実行して、SnapshotIQ の現在の設定を表示します。

isi snapshot settings view


Service: Yes Autocreate: Yes Autodelete: Yes Reserve: 0.00% Global Visible Accessible: Yes NFS Root Accessible: Yes NFS Root Visible: Yes NFS Subdir Accessible: Yes SMB Root Accessible: Yes SMB Root Visible: Yes SMB Subdir Accessible: Yes Local Root Accessible: Yes Local Root Visible: Yes Local Subdir Accessible: Yes

2. isi snapshot settings modify コマンドを実行して SnapshotIQ設定を構成します。次のコマンドを実行すると、スナップショットはクラスターに作成できません。

isi snapshot settings modify --service disable

SnapshotIQ設定SnapshotIQ設定では、スナップショットの動作とアクセス方法を指定します。



次の設定は、isi snapshot settings view コマンドの出力に表示されます。Service

SnapshotIQ がクラスター上で有効かどうかを決定します。

Autocreate

スナップショットスケジュールに従ってスナップショットが自動的に生成されるかどうかを決定します。

スナップショットの生成を無効にすると、一部の OneFS操作が失敗する可能性があります。この設定は無効にしないことをお勧めします。

Autodelete

有効期限に従ってスナップショットが自動的に削除されるかどうかを決定します。

Reserve

スナップショット用に予約されているクラスター上のディスク領域の割合を指定します。

NFS Root Accessible

スナップショットディレクトリに NFS からアクセスできるかどうかを決定します。

NFS Root Visible

スナップショットディレクトリが NFS から可視かどうかを決定します。

NFS Subdir Accessible

スナップショットサブディレクトリに NFS からアクセスできるかどうかを決定します。

SMB Root Accessible

スナップショットディレクトリに SMB からアクセスできるかどうかを決定します。

SMB Root Visible

スナップショットディレクトリが SMB から可視かどうかを決定します。

SMB Subdir Accessible

スナップショットサブディレクトリに SMB からアクセスできるかどうかを決定します。

Local Root Accessible

スナップショットディレクトリが SSH接続またはローカルコンソールを通じてアクセス可能かどうかを決定します。

Local Root Visible

スナップショットディレクトリが SSH接続またはローカルコンソールを通じて表示可能かどうかを決定します。

Local Subdir Accessible

スナップショットサブディレクトリが SSH接続またはローカルコンソールを通じてアクセス可能かどうかを決定します。

スナップショット予約の設定スナップショット用に確保する最小限のクラスターストレージ容量を示す割合を指定できます。


スナップショット予約の設定 609

スナップショット予約によって、スナップショットがクラスターで使用できる容量が制限されることはありません。スナップショットは、スナップショット予約によって指定された容量の割合よりも多くの容量を使用できます。スナップショット予約を指定しないことを推奨します。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi snapshot settings modify コマンドに--reserve オプションを付けて実

行し、スナップショット予約を設定します。たとえば、次のコマンドはスナップショット予約を 20%に設定します。

isi snapshot settings modify --reserve 20

変更リストの管理2 つのスナップショット間の違いを示す変更リストを作成し、表示できます。共通のルートディレクトリを持つ 2 つのスナップショットの変更リストを作成することができます。変更リストは、OneFS プラットフォーム API を通じてアプリケーションによって最もよくアクセスされます。たとえば、カスタムアプリケーションは重要なディレクトリパスの 2 つの最新スナップショットを定期的に比較し、ディレクトリをバックアップするか、またはその他のアクションをトリガーするかどうかを決定します。

変更リストの作成スナップショット間で変更されたデータを示す変更リストを作成することができます。手順

1. (オプション) 変更リストを作成するスナップショットの ID を表示するには、次のコマンドを実行します。


2. 変更リストは、ChangelistCreate オプションを指定して isi job jobs start コマンドを実行することで作成します。次のコマンドを実行すると、変更リストが作成されます。

isi job jobs start ChangelistCreate --older-snapid 2 --newer-snapid 6

変更リストの削除変更リストを削除することができます。手順

1. -k を指定して isi_changelist_mod コマンドを実行します。



次のコマンドでは、変更リスト 22_24 を削除します。

isi_changelist_mod -k 22_24

変更リストの表示2 つのスナップショット間の違いを説明する変更リストを表示することができます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。手順

1. 次のコマンドを実行して、変更リストの ID を表示します。

isi_changelist_mod -l

変更リスト ID には、変更リストの作成に使用される両方のスナップショットの ID が含まれます。OneFS がまだ変更リストの作成処理中の場合は、変更リスト ID に inprog が追加されます。

2. (オプション) -a オプションを指定して isi_changelist_mod コマンドを実行すると、変更リストの内容がすべて表示されます。次のコマンドを実行すると、2_6 という名前の変更リストの内容が表示されます。

isi_changelist_mod -a 2_6

変更リスト情報変更リストに含まれる情報を表示できます。

変更リストに含まれる情報は、OneFS プラットフォーム API を通じてアプリケーションで使用されます。

isi_changelist_mod コマンドを実行すると、変更リスト内の各アイテムに対して次の情報が表示されます。st_ino

指定されたアイテムの inode番号を表示します。

st_mode

指定されたアイテムのファイルタイプとアクセス権が表示されます。

st_size

アイテムの合計サイズがバイト単位で表示されます。

st_atime

アイテムが最後にアクセスされた時点の POSIX タイムスタンプを表示します。

st_mtime

アイテムが最後に変更された時点の POSIX タイムスタンプを表示します。


変更リストの表示 611

st_ctime

アイテムが最後に変更された時点の POSIX タイムスタンプを表示します。

cl_flags

アイテムと、アイテムにどのような変更が加えられたかについての情報を表示します。01

アイテムがスナップショットのルートディレクトリに追加されたか移動しました。

02

アイテムがスナップショットのルートディレクトリから削除されたか移動しました。

04

スナップショットのルートディレクトリから削除されずに、アイテムのパスが変更されました

10

アイテムに ADS（代替データストリーム）が現在含まれているか、かつて含まれていました。

20

アイテムは ADS です。

40

アイテムにハードリンクが存在します。

これらの値は、ともに出力に追加されます。たとえば、ADS が追加された場合、コードはcl_flags=021 になります。

path

指定したファイルまたはディレクトリの絶対パス。

スナップショットコマンドスナップショットコマンドを使用すると、スナップショットを制御したり、スナップショットにアクセスしたりできます。ほとんどのスナップショットコマンドは、特に SnapshotIQ ツールに対して適用され、SnapshotIQ ライセンスがクラスターに構成されている場合にのみ使用できます。

スナップショットの命名パターンスナップショットの自動生成をスケジュールする場合、スナップショットのスケジュールまたはレプリケーションポリシーに従って、スナップショットの命名方法を指定するスナップショット命名パターンを割り当てる必要があります。スナップショット命名パターンには、スナップショットの作成方法と作成時期に関する情報を示す変数が含まれています。スナップショット命名パターンには次の変数を指定できます。

変数説明

%A 曜日。

%a 曜日の略称。たとえば、スナップショットが日曜日に生成される場合、%aは Sun に置き換えられます。



変数説明

%B 月の名前。

%b 月の略称。たとえば、スナップショットが 9月（September）に生成される場合、%bは Sep に置き換えられます。

%C 年の最初の 2桁。たとえば、スナップショットが 2014

年に生成される場合、%Cは 20 に置き換えられます。

%c 日時。この変数は%a %b %e %T %Y を指定した場合に相当します。

%d 月の 2桁の日。

%e 月の特定の日。1桁の日の前にはスペースが付加されます。

%F 日付。この変数は%Y-%m-%d を指定した場合に相当します。

%G 年。この変数は%Y を指定した場合に相当します。ただし、スナップショットを作成する週のうち現在の年に該当する日数が 4日未満の場合、その週の大部分の日が含まれる年が表示されます。週の最初の日を月曜日として計算します。たとえば、スナップショットの作成日が 2017年 1月 1日（日曜日）の場合、この週のうち 2017年に該当する日は 1日のみであるため、%Gは 2016 に置き換えられます。

%g 年の略称。この変数は%y を指定した場合に相当します。ただし、スナップショットを作成する週のうち現在の年に該当する日数が 4日未満の場合、その週の大部分の日が含まれる年が表示されます。週の最初の日を月曜日として計算します。たとえば、スナップショットの作成日が 2017年 1月 1日（日曜日）の場合、この週のうち 2017年に該当する日は 1日のみであるため、%gは 16 に置き換えられます。

%H 時間。時間を 24時間制で表します。1桁の時間の前には 0 が付加されます。たとえば、スナップショットの作成時刻が午前 1時 45分の場合、%Hは 01に置き換えられます。

%h 月の略称。この変数は%b を指定した場合に相当します。

%I 時間を 12時間制で表します。1桁の時間の前には0 が付加されます。たとえば、スナップショットの作成時刻が午後 1時 45分の場合、%Iは 01 に置き換えられます。

%j 年の数値形式の日。たとえば、スナップショットの作成日が 2月 1日の場合、%jは 32 に置き換えられます。


スナップショットの命名パターン 613

変数説明

%k 時間を 24時間制で表します。1桁の時間の前にはスペースが付加されます。

%l 時間を 12時間制で表します。1桁の時間の前にはスペースが付加されます。たとえば、スナップショットの作成時刻が午前 1時 45分の場合、%Iは 1 に置き換えられます。

%M 2桁の分。

%m 2桁の月。

%p AM または PM。%{PolicyName} スナップショットの作成対象となるレプリケーションポリ

シー。この変数は、レプリケーションポリシーのスナップショット命名パターンを指定する場合にのみ有効です。

%R 時刻。この変数は%H:%M を指定した場合に相当します。

%r 時刻。この変数は%I:%M:%S %p を指定した場合に相当します。

%S 2桁の秒。

%s 秒は UNIX または POSIX時刻で表されます。

%{SrcCluster} スナップショットの作成対象となるレプリケーションポリシーのソースクラスターの名前。この変数は、レプリケーションポリシーのスナップショット命名パターンを指定する場合にのみ有効です。

%T 時刻。この変数は%H:%M:%S を指定した場合に相当します。

%U 年の週を表す 2桁の数値。00 から 53 までの値の範囲。週の最初の日を日曜日として計算します。

%u 曜日を表す数値。1 から 7 までの値の範囲。週の最初の日を月曜日として計算します。たとえば、スナップショットの作成日が日曜日の場合、［%u］は 7 に置き換えられます。

%V スナップショットが作成された年の週を表す 2桁の数値。01 から 53 までの値の範囲。週の最初の日を月曜日として計算します。1月 1日の週の日数が 4

日以上ある場合、その週はその年の最初の週として扱われます。

%v スナップショットが作成された日。この変数は%e-%b-%Y を指定した場合に相当します。

%W スナップショットが作成された年の週を表す 2桁の数値。00 から 53 までの値の範囲。週の最初の日を月曜日として計算します。



変数説明

%w スナップショットを作成した曜日を表す数値。0 から6 までの値の範囲。週の最初の日を日曜日として計算します。たとえば、スナップショットの作成日が日曜日の場合、%wは 0 に置き換えられます。

%X スナップショットが作成された時刻。この変数は%H:%M:%S を指定した場合に相当します。

%Y スナップショットが作成された年。

%y スナップショットが作成された年の最後の 2桁。たとえば、スナップショットが 2014年に生成された場合、［%y］は 14 に置き換えられます。

%Z スナップショットが作成されたタイムゾーン。

%z スナップショットが作成されたタイムゾーンの UTC（協定世界時）からのオフセット。プラス記号が前に付いている場合、タイムゾーンは UTC の東にあることを示します。マイナス記号が前に付いている場合、タイムゾーンは UTC の西にあることを示します。

%+ スナップショットが作成された日時。この変数は%a%b %e %X %Z %Y を指定した場合に相当します。

%% パーセント記号をエスケープする。たとえば、100%%

は 100%に置き換えられます。

isi snapshot schedules create

スナップショットスケジュールを作成します。スナップショットスケジュールは、OneFS が定期的に繰り返してスナップショットを生成するタイミングを決定します。

構文

isi snapshot schedules create <name> <path> <pattern> <schedule> [--alias ［<alias>］] [--duration ［<duration>］] [--verbose]


スナップショットスケジュールの名前を指定します。

<path>スナップショットに含めるディレクトリのパスを指定します。

<pattern>スケジュールに従って作成されるスナップショットの命名パターンを指定します。

<schedule>スナップショットが作成される回数を指定します。


isi snapshot schedules create 615

次の形式で指定します。

"［<interval>］ [［<frequency>］]"

［<interval>］を次のいずれかの形式で指定します。

l Every [{other | ［<integer>］}] {weekday | day}

l Every [{other | ［<integer>］}] week [on ［<day>］]

l Every [{other | ［<integer>］}] month [on the ［<integer>］]

l Every [［<day>］[, ...] [of every [{other | ［<integer>］}]week]]

l The last {day | weekday | ［<day>］} of every [{other |［<integer>］}] month

l The ［<integer>］ {weekday | ［<day>］} of every [{other |［<integer>］}] month

l Yearly on ［<month>］［<integer>］

l Yearly on the {last | ［<integer>］} [weekday | ［<day>］] of［<month>］

［<frequency>］を次のいずれかの形式で指定します。

l at ［<hh>］[:［<mm>］] [{AM | PM}]

l every [［<integer>］] {hours | minutes} [between ［<hh>］[:［<mm>］] [{AM | PM}] and ［<hh>］[:［<mm>］] [{AM | PM}]]

l every [［<integer>］] {hours | minutes} [from ［<hh>］[:［<mm>］][{AM | PM}] to ［<hh>］[:［<mm>］] [{AM | PM}]]

［<integer>］の末尾にオプションで「st」、「th」、「rd」を追加できます。たとえば、「Every1st month」を指定できます。曜日または 3 文字の略語を［<day>］に指定します。たとえば、「saturday」と「sat」の両方が有効です。

--alias［<alias>］スケジュールに基づいて生成された最新のスナップショットのエイリアスを指定します。エイリアスにより、スケジュールに応じて生成された最新のスナップショットを迅速に特定できます。文字列として指定します。

{--duration | -x} ［<duration>］スケジュールに応じて生成されたスナップショットを、OneFS が自動的に削除する前にクラスターに格納する期間を指定します。次の形式で指定します。

［<integer>］［<units>］



次の［<units>］が有効です。［Y］





［H］時間を指定します。

{--verbose | -v}

スナップショットスケジュールが作成されたことを確認するメッセージを表示します。

isi snapshot schedules modify

既存のスナップショットスケジュールの属性を変更します。

スナップショットスケジュールを変更する場合、スケジュールに基づいてすでに生成されたスナップショットは変更による影響を受けません。

構文

isi snapshot schedules modify <schedule-name> {--name ［<name>］ | --alias ［<name>］ | --path ［<path>］ | --pattern ［<naming-pattern>］ | --schedule ［<schedule>］ | --duration ［<duration>］ | --clear-duration}... [--verbose]

オプション<schedule-name>

指定したスナップショットスケジュールを変更します。スナップショットスケジュール名または ID として指定します。

--name［<name>］スケジュールの新しい名前を指定します。文字列として指定します。

{--alias | -a} ［<name>］スケジュールに基づいて生成された最新のスナップショットのエイリアスを指定します。エイリアスにより、スケジュールに応じて生成された最新のスナップショットを迅速に特定できます。指定した場合、指定されたエイリアスは、スケジュールによって生成される次のスナップショット、および以降に生成されるすべてのスナップショットに適用されます。文字列として指定します。


isi snapshot schedules modify 617

--path［<path>］このスナップショットスケジュールに対する新しいディレクトリパスを指定します。指定した場合、スケジュールによって生成されるスナップショットには、このディレクトリパスだけが含まれます。ディレクトリパスとして指定します。

--pattern［<naming-pattern>］スケジュールに従って作成されるスナップショットの命名パターンを指定します。

--schedule［<schedule>］スナップショットが作成される回数を指定します。次の形式で指定します。












l at ［<hh>］[:［<mm>］] [{AM | PM}]



［<integer>］の末尾にオプションで「st」、「th」、「rd」を追加できます。たとえば、「Every 1stmonth」を指定できます。曜日または 3 文字の略語を［<day>］に指定します。たとえば、「saturday」と「sat」の両方が有効です。



{--duration | -x} ［<duration>］スケジュールに応じて生成されたスナップショットを、OneFS が自動的に削除する前にクラスターに格納する期間を指定します。次の形式で指定します。








--clear-durationスケジュールに従って作成されるスナップショットの期間を削除します。指定した場合、生成されるスナップショットはクラスターに無期限に存在します。

{--verbose | -v}

スナップショットスケジュールが変更されたことを確認するメッセージが表示されます。

isi snapshot schedules delete

スナップショットスケジュールを削除します。スナップショットスケジュールが削除されると、そのスケジュールに従ってスナップショットが生成されることはなくなります。ただし、それ以前にスケジュールに従って生成されたスナップショットには影響ありません。

構文

isi snapshot schedules delete <schedule-name>[--force][--verbose]


指定したスナップショットスケジュールが削除されます。スナップショットスケジュール名または ID として指定します。

{--force | -f}


isi snapshot schedules delete 619

このスナップショットスケジュールの削除の確認をユーザーに表示しません。

{--verbose | -v}

スナップショットスケジュールが削除されたことを確認するメッセージが表示されます。

isi snapshot schedules list

すべてのスナップショットスケジュールの一覧を表示します。

構文

isi snapshot schedules list[--limit ［<integer>］][--sort ［<attribute>］][--descending][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]



--sort［<attribute>］表示される出力を指定された属性でソートします。次の値が有効です。［id］

スナップショットスケジュールの ID で出力を並べ替えます。

［name］スナップショットスケジュールの名前のアルファベット順に出力を並べ替えます。

［path］スケジュールに従って作成されたスナップショットに含まれるディレクトリの絶対パスで出力を並べ替えます。

［pattern］スケジュールに従って生成されるスナップショットに割り当てられるスナップショット命名パターンのアルファベット順に出力を並べ替えます。

［schedule］スケジュールのアルファベット順に出力を並べ替えます。たとえば、「Every week」の方が「Yearly on January 3rd」より前になります。

［duration］スケジュールに従って作成されたスナップショットが自動的に削除されるまでクラスター上に保持される期間で出力を並べ替えます。

［alias］スケジュールに従って生成された最新のスナップショットに割り当てられたエイリアスの名前のアルファベット順に出力を並べ替えます。



［next_run］スケジュールに従ってスナップショットが次に作成される時期で出力を並べ替えます。

［next_snapshot］次に作成されるようにスケジュールされているスナップショットの名前のアルファベット順に出力を並べ替えます。

{--descending | -d}

出力を逆の順序で表示します。

--format［<output-format>］出力をテーブル（デフォルト）、JSON（JavaScript Object Notation）、CSV（コンマ区切り値）、リスト形式で表示します。

{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi snapshot schedules view

スナップショットスケジュールに関する情報を表示します。

構文

isi snapshot schedules view <schedule-name>


指定したスナップショットスケジュールに関する情報が表示されます。スナップショットスケジュール名または ID として指定します。

isi snapshot schedules pending list

スナップショットスケジュールによって生成されるようにスケジュールされたスナップショットのリストを表示します。

構文

isi snapshot schedules pending list[--begin ［<timestamp>］][--end ［<timestamp>］][--limit ［<integer>］][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]


isi snapshot schedules view 621

オプション{--begin | -b} ［<timestamp>］

指定された日付より後に生成されるようにスケジュールされているスナップショットのみが表示されます。［<timestamp>］は次の形式で指定します。


このオプションを指定しないと、現時点より後に生成されるようにスケジュールされているスナップショットのリストが表示されます。

{--end | -e} ［<time>］指定された日付より前に生成されるようにスケジュールされているスナップショットのみが表示されます。［<time>］は次の形式で指定します。


このオプションを指定しないと、開始時点より後で 30日より前に生成されるようにスケジュールされているスナップショットのリストが表示されます。



{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi snapshot snapshots create

ディレクトリのスナップショットを作成します。

構文

isi snapshot snapshots create ［<path>］ [--name ［<name>］] [--expires {［<timestamp>］ | ［<duration>］}] [--alias ［<name>］] [--verbose]



オプション［<path>］

このスナップショットに含めるディレクトリのパスを指定します。

--name［<name>］スナップショットの名前を指定します。

{--expires | -x} {［<timestamp>］ | ［<duration>］}OneFS がこのスナップショットを自動的に削除する時間を指定します。このオプションを指定しないと、スナップショットは無期限に存在します。［<timestamp>］は次の形式で指定します。


［<duration>］を次の形式で指定します。








{--alias | -a} ［<name>］このナップショットのエイリアスを指定します。ナップショットのエイリアスは、スナップショットの代替名です。文字列として指定します。

{--verbose | -v}

スナップショットが作成されたことを確認するメッセージが表示されます。

isi snapshot snapshots modify

スナップショットまたはスナップショットエイリアスの属性を変更します。


isi snapshot snapshots modify 623

構文

isi snapshot snapshots modify <snapshot> {--name ［<name>］ | --expires {［<timestamp>］ | ［<duration>］} | --clear-expires | --alias ［<name>］}... [--verbose]

オプション<snapshot>

指定したスナップショットまたはスナップショットエイリアスを変更します。スナップショットまたはスナップショットエイリアスの名前または ID を指定します。

--name［<name>］スナップショットまたはスナップショットエイリアスの新しい名前を指定します。文字列として指定します。

{--expires | -x} {［<timestamp>］ | ［<duration>］}OneFS がこのスナップショットを自動的に削除する時間を指定します。［<timestamp>］は次の形式で指定します。



［<integer>］［<time>］

次の［<time>］値が有効です。［Y］






スナップショットのエイリアスの有効期限を変更することはできません。

--clear-expiresスナップショットから有効期限を削除し、スナップショットがクラスターに無期限に存在できるようにします。スナップショットのエイリアスの有効期限を変更することはできません。



{--alias | -a} ［<name>］スナップショットのエイリアスを指定します。スナップショットのエイリアスは、スナップショットの代替名です。スナップショットエイリアスのエイリアスは指定できません。文字列として指定します。

{--verbose | -v}

スナップショットまたはスナップショットエイリアスが変更されたことを確認するメッセージが表示されます。

isi snapshot snapshots delete

スナップショットを削除します。削除されたスナップショットには、ユーザーまたはシステムはアクセスできなくなります。

構文

isi snapshot snapshots delete {--all | --snapshot ［<snapshot>］ | --schedule ［<schedule>］ | --type ［<type>］} [--force] [--verbose]

オプション--all

すべてのスナップショットを削除します。

--snapshot［<snapshot>］指定したスナップショットが削除されます。スナップショット名または ID として指定します。

--schedule［<schedule>］指定したスケジュールに従って作成されたすべてのスナップショットが削除されます。スナップショットスケジュール名または ID として指定します。

--type［<type>］指定したタイプのすべてのスナップショットが削除されます。以下のタイプが有効です。［alias］

すべてのスナップショットエイリアスを削除します。

［real］すべてのスナップショットを削除します。

{--force | -f}

スナップショットの削除の確認をユーザーに表示しません。

{--verbose | -v}

スナップショットが削除されたことを確認するメッセージが表示されます。


isi snapshot snapshots delete 625

例次のコマンドを実行すると、newSnap1 が削除されます。

isi snapshot snapshots delete --snapshot newSnap1


すべてのスナップショットとスナップショットエイリアスのリストを表示します。

構文

isi snapshot snapshots list [--state ［<state>］] [--limit ［<integer>］] [--sort ［<attribute>］] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプション--state［<state>］

指定した状態で存在するスナップショットおよびスナップショットエイリアスだけが表示されます。次の状態が有効です。［all］

現在クラスターの領域を占めているすべてのスナップショットおよびスナップショットエイリアスが表示されます。

［active］削除されていないスナップショットおよびスナップショットエイリアスだけが表示されます。

［deleting］削除されていますがクラスターの領域をまだ占めているスナップショットだけが表示されます。削除されたスナップショットによって占められている領域は、次にスナップショット削除ジョブが実行された時点で解放されます。


--sort［<attribute>］指定した属性でコマンド出力をソートします。次の属性が有効です。［id］

スナップショットの ID で出力を並べ替えます。

［name］スナップショットの名前のアルファベット順に出力を並べ替えます。

［path］スナップショットに含まれるディレクトリの絶対パスで出力を並べ替えます。



［has_locks］スナップショットロックがスナップショットに適用されているかどうかにより出力を並べ替えます。

［schedule］スナップショットがスケジュールに従って生成された場合、スナップショットスケジュールの名前のアルファベット順に出力を並べ替えます。

［target_id］スナップショットがエイリアスである場合、エイリアスのスナップショット ID ではなくターゲットスナップショットのスナップショット ID で出力を並べ替えます。

［target_name］スナップショットがエイリアスである場合、エイリアスの名前ではなくターゲットスナップショットの名前で出力を並べ替えます。

［created］スナップショットが作成された日時で出力を並べ替えます。

［expires］スナップショットの自動削除がスケジュールされている日時で出力を並べ替えます。

［size］スナップショットが使用しているディスク領域の量で出力を並べ替えます。

［shadow_bytes］スナップショットがシャドウストアから参照しているデータの量に基づいて出力を並べ替えます。スナップショットに含まれるファイルがクローンされている場合、またはスナップショットがクローンされたファイルで取得されている場合、スナップショットはシャドウストアのデータを参照します。

［pct_reserve］スナップショットが使用しているスナップショット予約のパーセンテージで出力を並べ替えます。

［pct_filesystem］スナップショットが使用しているファイルシステムの割合で出力を並べ替えます。

［state］スナップショットの状態に基づいて出力を並べ替えます。

{--descending | -d}




{--no-header | -a}

ヘッダーなしのテーブル出力を表示します。

{--no-footer | -z}


isi snapshot snapshots list 627

フッターなしのテーブル出力を表示します。フッターにスナップショットの合計が表示されます（スナップショットによって使用されているストレージ領域の合計量など）。

{--verbose | -v}


isi snapshot snapshots view

個別のスナップショットのプロパティを表示します。

構文

isi snapshot snapshots view <snapshot>


指定したスナップショットに関する情報が表示されます。スナップショット名または ID として指定します。

isi snapshot settings modify

スナップショットの設定を変更します。

構文

isi snapshot settings modify {--service {enable | disable} | --autocreate {enable | disable} | --autodelete {enable | disable} | --reserve ［<integer>］ | --global-visible-accessible {yes | no} | --nfs-root-accessible {yes | no} | --nfs-root-visible {yes | no} | --nfs-subdir-accessible {yes | no} | --smb-root-accessible {yes | no} | --smb-root-visible {yes | no} | --smb-subdir-accessible {yes | no} | --local-root-accessible {yes | no} | --local-root-visible {yes | no} | --local-subdir-accessible {yes | no}}... [--verbose]

オプション--service {enable | disable}

スナップショットを生成できるかどうかを決定します。

スナップショットの生成を無効にすると、一部の OneFS操作が失敗する可能性があります。この設定は無効にしないことをお勧めします。

--autocreate {enable | disable}

スナップショットスケジュールに従ってスナップショットが自動的に生成されるかどうかを決定します。



［disable］を指定しても、OneFS アプリケーションでスナップショットが生成されなくなることはありません。

--autodelete {enable | disable}

有効期限に従ってスナップショットが自動的に削除されるかどうかを決定します。このオプションが無効になっている間に有効期限を過ぎたすべてのスナップショットは、オプションが再び有効になると直ちに削除されます。

--reserve［<integer>］スナップショット用に確保するファイルシステムのパーセンテージを指定します。［1］～［100］の間の正の整数で指定します。

このオプションは、SnapshotIQ以外のアプリケーションで使用できる領域の量のみを制限します。スナップショットが使用できる領域の量は制限しません。スナップショットは、指定されているパーセンテージより多くのシステムストレージ領域を使用できます。

--global-visible-accessible {yes | no}

yes を指定すると、スナップショットのディレクトリとサブディレクトリはすべてのプロトコルで認識してアクセスできるようになり、スナップショットの可視性とアクセス性に関する他のすべての設定が上書きされます。no を指定すると、可視性とアクセス性の設定は、スナップショットの可視性とアクセス性に関する他の設定によって制御されます。

--nfs-root-accessible {yes | no}

スナップショットディレクトリに NFS からアクセスできるかどうかを決定します。

--nfs-root-visible {yes | no}

スナップショットディレクトリが NFS から可視かどうかを決定します。

--nfs-subdir-accessible {yes | no}

スナップショットサブディレクトリに NFS からアクセスできるかどうかを決定します。

--smb-root-accessible {yes | no}

スナップショットディレクトリに SMB からアクセスできるかどうかを決定します。

--smb-root-visible {yes | no}

スナップショットディレクトリが SMB から可視かどうかを決定します。

--smb-subdir-accessible {yes | no}

スナップショットサブディレクトリに SMB からアクセスできるかどうかを決定します。

--local-root-accessible {yes | no}

スナップショットディレクトリにローカルファイルシステムからアクセスできるかどうかを決定します。

--local-root-visible {yes | no}

スナップショットディレクトリがローカルファイルシステムから可視かどうかを決定します。

--local-subdir-accessible {yes | no}

スナップショットサブディレクトリにローカルファイルシステムからアクセスできるかどうかを決定します。

{--verbose | -v}


isi snapshot settings modify 629

変更されたスナップショットの設定を確認するメッセージを表示します。


現在の SnapshotIQ の設定を表示します。

構文



isi snapshot locks create

スナップショットロックを作成します。

スナップショットロックは作成しないこと、したがってこのコマンドは使用しないことをお勧めします。スナップショットの最大ロック数に達すると、SyncIQなどの一部のアプリケーションが正しく機能しなくなる可能性があります。

構文

isi snapshot locks create <snapshot> [--comment ［<string>］] [--expires {［<timestamp>］ | ［<duration>］}] [--verbose]


このロックを適用するスナップショットの名前を指定します。

{--comment | -c} ［<string>］ロックについて説明するコメントを指定します。文字列として指定します。

{--expires | -x} {［<timestamp>］ | ［<duration>］}システムがロックを自動的に削除する時間を指定します。このオプションを指定しない場合、スナップショットロックは無期限に存在します。［<timestamp>］は次の形式で指定します。




次の［<time>］値が有効です。



［Y］年を指定します。





{--verbose | -v}

スナップショットロックが削除されたことを確認するメッセージを表示します。

isi snapshot locks modify

スナップショットロックの有効期限を変更します。

スナップショットロックの有効期限は変更しないこと、したがってこのコマンドは実行しないことをお勧めします。 OneFS によって作成されたスナップショットロックの有効期限を変更すると、データが失われる可能性があります。

構文

isi snapshot locks modify <snapshot> <id> {--expires {［<timestamp>］ | ［<duration>］} | --clear-expires} [--verbose]


指定したスナップショットに適用されているスナップショットロックを変更します。スナップショット名または ID として指定します。

<id>指定した ID のスナップショットロックを変更します。

{--expires | -x} {［<timestamp>］ | ［<duration>］}システムがロックを自動的に削除する時間を指定します。このオプションを指定しない場合、スナップショットロックは無期限に存在します。


isi snapshot locks modify 631

［<timestamp>］は次の形式で指定します。




次の［<time>］値が有効です。［Y］






--clear-expiresスナップショットロックの継続期間を削除します。指定した場合、スナップショットロックはクラスターに無期限に存在します。

{--verbose | -v}

スナップショットロックが変更されたことを確認するメッセージが表示されます。

例次のコマンドを実行すると、Wednesday_Backup に適用されるスナップショットロックの有効期限が 3週間になります。

isi snapshot locks modify Wednesday_Backup 1 --expires 3W

isi snapshot locks delete

スナップショットロックを削除します。スナップショットロックを削除すると、データが損失することがあります。

スナップショットロックは削除しないこと、したがってこのコマンドは実行しないことをお勧めします。 OneFS によって作成されたスナップショットロックを削除すると、データが失われる可能性があります。



構文

isi snapshot locks delete <snapshot> <id> [--force] [--verbose]


指定したスナップショットに適用されているスナップショットロックを削除します。スナップショット名または ID として指定します。

<id>指定した ID のスナップショットロックを変更します。

{--force | -f}

このスナップショットロックの削除の確認をユーザーに表示しません。

{--verbose | -v}

スナップショットロックが削除されたことを確認するメッセージを表示します。

isi snapshot locks list

特定のスナップショットに適用されるすべてのロックのリストを表示します。

構文

isi snapshot locks list <snapshot> [--limit ［<integer>］] [--sort ［<attribute>］] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]


指定したスナップショットに属するすべてのロックが表示されます。スナップショットの名前を指定します。



スナップショットロックの ID で出力を並べ替えます。

［comment］スナップショットロックの説明のアルファベット順に出力を並べ替えます。


isi snapshot locks list 633

［expires］ロックが自動的に削除されるまでクラスター上に保持される期間で出力を並べ替えます。

［count］ロックが保持される回数で出力を並べ替えます。

{--descending | -d}



{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi snapshot locks view

スナップショットロックに関する情報を表示します。

構文

isi snapshot locks view <snapshot> <id>


ロックを表示するスナップショットを指定します。スナップショット名または ID として指定します。

<id>指定したロックが表示されます。スナップショットロックの ID を指定します。

isi snapshot aliases create

スナップショットエイリアスをスナップショットまたはファイルシステムのライブバージョンに割り当てます。

構文

isi snapshot aliases create ［<name>］［<target>］ [--verbose]




エイリアスの名前を指定します。

［<target>］エイリアスを、指定したスナップショットまたはファイルシステムのライブバージョンに割り当てます。スナップショット ID または名前として指定します。ファイルシステムのライブバージョンをターゲットにするには、［LIVE］を指定します。

{--verbose | -v}


isi snapshot aliases modify

スナップショットエイリアスを変更します。

構文

isi snapshot aliases modify <alias> {--name ［<name>］ | --target ［<snapshot>］} [--verbose]

オプション<alias>

指定したスナップショットエイリアスを変更します。スナップショットエイリアス名または ID として指定します。

--name <name>スナップショットエイリアスの新しい名前を指定します。

--target［<snapshot>］スナップショットエイリアスを指定したスナップショットまたはファイルシステムのライブバージョンに再び割り当てます。スナップショット ID または名前として指定します。ファイルシステムのライブバージョンをターゲットにするには、［LIVE］を指定します。

{--verbose | -v}


isi snapshot aliases delete

スナップショットエイリアスを削除します。

構文

isi snapshot aliases delete {［<alias>］ | --all} [--force] [--verbose]

オプション［<alias>］

指定された名前のスナップショットエイリアスを削除します。


isi snapshot aliases modify 635

スナップショットエイリアス名または ID として指定します。

--allすべてのスナップショットエイリアスを削除します。

{--force | -f}

スナップショットエイリアスを削除するかどうかを確認するプロンプトを表示せずにコマンドを実行します。

{--verbose | -v}


isi snapshot aliases list

スナップショットエイリアスの一覧を表示します。

構文

isi snapshot aliases list [--limit ［<integer>］] [--sort {id | name | target_id | target_name | created}] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]




スナップショットエイリアスの ID で出力を並べ替えます。

［name］スナップショットエイリアスの名前で出力を並べ替えます。

［target_id］スナップショットエイリアスが割り当てられるスナップショットの ID で出力を並べ替えます。

［target_name］スナップショットエイリアスが割り当てられるスナップショットの名前で出力を並べ替えます。

［created］スナップショットエイリアスが作成された日付で出力を並べ替えます。

{--descending | -d}





{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi snapshot aliases view

スナップショットエイリアスに関する詳細情報を表示します。

構文

isi snapshot aliases view <alias>

オプション<alias>

指定したスナップショットエイリアスに関する詳細情報を表示します。スナップショットエイリアス名または ID として指定します。


isi snapshot aliases view 637

第 15 章

SmartDedupe による重複排除


l 重複排除の概要................................................................................................ 640l 重複排除ジョブ...................................................................................................640l 重複排除によるデータレプリケーションとバックアップ....................................................641l 重複排除でのスナップショット................................................................................. 641l 重複排除に関する考慮事項................................................................................642l シャドウストアに関する考慮事項...........................................................................642l SmartDedupe ライセンスの機能...........................................................................643l 重複排除の管理................................................................................................ 643l 重複排除コマンド................................................................................................646

SmartDedupe による重複排除 639

重複排除の概要SmartDedupe で冗長データを削減することにより、クラスター上のストレージ領域を節約することができます。重複排除は、同一ブロックを持つ複数ファイルの格納に必要なストレージ容量を削減することで、クラスターの効率性を最大に高めます。SmartDedupe ソフトウェアモジュールは、Isilon クラスターの同一データブロックをスキャンしてデータを重複排除します。各ブロックは 8 KB です。SmartDedupe で重複ブロックが検出されると、SmartDedupeはブロックの単一コピーをシャドウストアと呼ばれる隠しファイルに移動します。SmartDedupeは、元のファイルから重複ブロックを削除し、シャドウストアへのポインターでブロックをリプレースします。重複排除はディレクトリレベルで適用され、1 つ以上のルートディレクトリの下のすべてのファイルとディレクトリをターゲットとします。SmartDedupe では、別ファイル内の同一ブロックだけでなく、単一ファイル内の同一ブロックも重複排除します。最初に重複排除のディレクトリを評価し、節約される推定スペース量を判断できます。次に、ディレクトリを重複排除するかどうかを決定できます。ディレクトリの重複排除を開始した後で、重複排除によって節約される容量をリアルタイムで監視できます。2 つ以上のファイルを重複排除する場合、その 2 つのファイルのディスクプールポリシー ID と保護ポリシーは同じである必要があります。2 つ以上の同一のファイル、または同一の 8K ブロックを持つファイルの間でこれらの属性の一方または両方が異なる場合、ファイルは重複除外されません。ファイルごと、またはディレクトリごとに保護ポリシーが指定可能であるため、重複排除できる可能性はさらに下がります。/ifs/data/projects/alpha/logo.jpg と/ifs/data/projects/beta/logo.jpg という 2 つのファイルを例にあげて考えてみましょう。両方のディレクトリ内の logo.jpg ファイルは同じでも、双方のファイルの保護ポリシーが異なっていると、2 つのファイルは重複排除されません。さらに、クラスターで SmartPools のライセンスをアクティブにした場合は、カスタムのファイルプールポリシーを指定できます。このようなファイルプールポリシーがあると、同一のファイルまたは同一の 8Kブロックを持つファイルが別々のノードプールに格納される場合があります。そのため、これらのファイルには異なるディスクプールポリシーの ID があり、重複排除されないようになっています。32KB以下のファイルを重複排除してもストレージの節約に見合わない量のクラスターリソースが消費されるため、そのようなファイルも重複排除されません。シャドウストアのデフォルトのサイズは 2GB です。各シャドウストアには最大 256,000個のブロックを含むことができます。シャドウストア内の各ブロックは最大 32,000回参照できます。

重複排除ジョブ重複排除は、重複排除ジョブと呼ばれるシステムメンテナンスジョブによって実行されます。重複排除ジョブは、クラスター上の他のメンテナンスジョブと同様に監視および制御できます。重複排除の全体的なパフォーマンスインパクトは最小限ですが、重複排除ジョブはノードあたり 400 MB のメモリを消費します。重複排除ジョブがクラスター上で最初に実行されるときに、SmartDedupe によって各ファイルからブロックがサンプリングされ、それらのブロックのインデックスエントリーが作成されます。2 つのブロックのインデックスエントリーが一致した場合、SmartDedupe によって一致するペアに隣接するブロックがスキャンされ、すべての重複ブロックが重複排除されます。重複排除ジョブでファイルが 1回サンプリングされた後、新しい重複排除ジョブではファイルが変更されるまでそのファイルは再びサンプリングされません。最初に実行する重複排除ジョブは、後続の重複排除ジョブよりも完了までに大幅に長い時間を要することがあります。最初の重複排除ジョブでは、指定したディレクトリのすべてのファイルをスキャンし



て初期インデックスを作成する必要があります。後続の重複排除ジョブが完了に長時間かかる場合、大量のデータが重複排除されている可能性が最も高くなります。ただし、ユーザーがクラスター上に大量の新規データを保存していることを示している可能性もあります。重複排除ジョブが重複排除プロセス中に中断された場合、ジョブは中断した場所からスキャンプロセスを自動的に再開します。

ユーザーがクラスター上のデータを変更していない場合は、重複排除ジョブを実行する必要があります。重複排除されたブロックはシャドウストアから絶えず削除されるため、ユーザーがクラスター上でファイルを継続的に変更している場合、重複排除によって節約されるスペース量は最小になります。

Isilon クラスター上で重複排除ジョブをどのくらいの頻度で実行する必要があるかは、データセットのサイズ、変更の比率、オポチュニティによって異なります。ほとんどのクラスターでは、7～10日おきに重複排除ジョブを開始することをお勧めします。重複排除ジョブを手動で開始するか、指定された間隔で繰り返しジョブのスケジュールを設定することができます。デフォルトでは、重複排除ジョブは低い優先度で実行するように構成されています。ただし、手動またはスケジュールによって実行される重複排除ジョブの優先度やインパクトなどのジョブの制御を指定できます。重複排除設定の変更に必要な権限は、重複排除ジョブの実行に必要な権限と同じではありません。ユーザーが重複排除ジョブを実行するためにはメンテナンスジョブ権限が必要ですが、ユーザーが重複排除設定を変更するには重複排除権限が必要です。デフォルトでは、root ユーザーとSystemAdmin ユーザーがすべての重複排除操作のために必要な権限を持っています。

重複排除によるデータレプリケーションとバックアップ重複排除されたファイルが別の Isilon クラスターにレプリケートされるかテープデバイスにバックアップされると、重複排除されたファイルはターゲットの Isilon クラスターまたはバックアップデバイス上のブロックを共有しなくなります。ただし、ターゲットの Isilon クラスター上のデータは重複排除できますが、NDMPバックアップデバイス上のデータは重複排除できません。シャドウストアは、ターゲットクラスターまたはバックアップデバイスに転送されません。このため、重複排除されたファイルは、レプリケートまたはバックアップされるときに、重複排除されていないファイルよりも少ないスペースを消費します。スペースの不足を回避するために、データが重複排除されていない場合と同様に、ターゲットクラスターとテープデバイスに、重複排除されたデータを格納するのに十分な空き領域があることを確認する必要があります。ターゲットの Isilon クラスターで消費されるストレージ領域の量を削減するために、レプリケーションポリシーのターゲットディレクトリに対して重複排除を構成できます。これによりターゲットディレクトリのデータは重複排除されますが、SyncIQではシャドウストアを転送できません。重複排除は、ターゲットクラスターで実行されている重複排除ジョブによって依然として実行されます。重複排除されたデータのバックアップおよびレプリケートに必要なクラスターリソースの量は、重複排除されていないデータの場合と同じです。データのレプリケートまたはバックアップ中にデータを重複排除できます。

重複排除でのスナップショットスナップショットに格納されているデータは重複排除できません。ただし、重複排除されたデータのスナップショットは作成できます。重複排除されたディレクトリのスナップショットを作成してから、そのディレクトリの内容を変更した場合、シャドウストアへの参照が時間の経過とともにスナップショットに転送されます。したがって、スナップショットを作成する前に重複排除を有効化した場合は、クラスター上のスペースが節約されます。スナップショットに大量のデータがすでに格納されているクラスター上に重複排除を実装した場合は、スナップショットデータが重複排除の影響を受けるまでに時間がかかります。新規に作成され


重複排除によるデータレプリケーションとバックアップ 641

たスナップショットに重複排除されたデータを含めることはできますが、重複排除の実装前に作成されたスナップショットには含めることができません。スナップショットの復元を計画している場合は、重複排除ジョブを実行する前にスナップショットを復元することが最適です。スナップショットをリストアすると、クラスター上のファイルの多くが上書きされることがあります。重複排除されたファイルは、スナップショットの復元によって上書きされた場合に通常のファイルに復元されます。ただし、スナップショットの復元が完了した後で、ディレクトリを重複排除し、クラスター上でスペースの節約を維持できます。

重複排除に関する考慮事項重複排除によって、データの格納の効率性が大幅に向上することがあります。ただし、重複排除の影響は、クラスターによって異なります。SmartDedupe を実行して、クラスター上の冗長性を低減できます。重複排除により、ファイルを読み取りおよび書き込みできるスピードに影響する可能性のあるリンクが作成されます。特に、重複排除されたファイルを 512 KB未満のチャンクでシーケンシャルに読み取ると、重複排除されていないファイルを同じ小さいシーケンシャルなチャンクで読み取るよりも大幅に低速になることがあります。このパフォーマンスの低下は、キャッシュされていないデータを読み取る場合にのみ適用されます。キャッシュされたデータの場合、重複排除されたファイルのパフォーマンスは、重複排除されていないファイルよりも高くなる可能性があります。 512 KB より大きいチャンクをストリーミングする場合、重複排除はファイルの読み取りパフォーマンスに大きな影響を与えません。一度に各ファイルの 8 KB以下をストリーミングし、ファイルの同時ストリーミングを計画していない場合は、ファイルを重複排除しないことをお勧めします。重複排除は、静的またはアーカイブされたファイルおよびディレクトリに適用される場合に最も効果的です。変更されるファイルが少ないほど、重複排除がクラスターに与える悪影響が小さくなります。たとえば、仮想マシンにはめったに変更されない同一ファイルのコピーが複数含まれていることがよくあります。多数の仮想マシンを重複排除すると、消費されるストレージ領域を大幅に削減できます。

シャドウストアに関する考慮事項シャドウストアは、クローンファイルと重複排除ファイルによって参照される隠しファイルです。シャドウストアを参照するファイルは、他のファイルとは動作が異なります。l シャドウストア参照の読み取りは、データの直接的な読み取りよりも遅くなることがある。特に、

キャッシュされていないシャドウストア参照の読み取りは、キャッシュされていないデータの読み取りよりも遅くなります。キャッシュされているシャドウストア参照の読み取りには、キャッシュされているデータの読み取りと同程度の時間がかかります。

l シャドウストアを参照しているファイルが別の Isilon クラスターにレプリケートされるか、NDMP（ネットワークデータ管理プロトコル）バックアップデバイスにバックアップされるとき、ターゲットIsilon クラスターまたはバックアップデバイスにシャドウストアは転送されない。ファイルは、シャドウストアから参照しているデータが含まれているかのように転送されます。ターゲット Isilon クラスターまたはバックアップデバイスでは、ファイルは、シャドウストアを参照していない場合と同じスペースの容量を消費します。

l OneFSは、シャドウストアを作成するとき、そのシャドウストアを参照しているファイルのストレージプールにシャドウストアを割り当てます。シャドウストアが存在するストレージプールを削除すると、シャドウストアは、そのシャドウストアを参照している別のファイルによって占有されているプールに移動されます。

l OneFSは、シャドウストアブロックに対する最後の参照が削除された直後にそのブロックを削除しない。代わりに、OneFSは、未参照ブロックを削除する ShadowStoreDelete ジョブが



実行されるまで待機します。大量の未参照ブロックがクラスター上に存在する場合、OneFSは、ShadowStoreDelete ジョブが実行されるまで、マイナスの重複排除による節約を報告することがあります。

l シャドウストアは、それを参照しているファイルの中で最も保護されているファイルと同じレベルで保護される。たとえば、シャドウファイルを参照する 1 つのファイルが+2 の保護のストレージプールに格納され、同じシャドウファイルを参照する別のファイルが+3 の保護のストレージプールに格納されている場合、シャドウストアは+3 で保護されます。

l クォータは、シャドウストアを参照するファイルを、そのファイルにシャドウストアから参照されるデータが含まれているかのように考慮する。クォータから見ると、シャドウストア参照は存在しません。ただし、クォータにデータ保護オーバーヘッドが含まれている場合、クォータにはシャドウストアのデータ保護オーバーヘッドは含まれません。

SmartDedupe ライセンスの機能データの重複排除は、クラスター上で SmartDedupe ライセンスをアクティブ化している場合のみ実行できます。ただし、重複排除による節約は、SmartDedupe ライセンスをアクティブ化しなくても評価できます。SmartDedupe ライセンスをアクティブ化した後でデータの重複排除を実行した場合、ライセンスが非アクティブになった場合でも、スペースの節約が失われることはありません。ライセンスが非アクティブの間も、重複排除による節約を表示できます。ただし、追加データの重複排除は、SmartDedupe ライセンスを再アクティブ化するまでは実行できません。

重複排除の管理個々のディレクトリを重複排除することで節約できるスペース量を最初に評価することで、クラスター上の重複排除を管理できます。重複排除する価値があるディレクトリを決定した後で、これらのディレクトリを別々に重複排除するように SmartDedupe を構成できます。その後、節約しているディスク領域の実際の量を監視できます。

重複排除によるスペースの節約の評価ディレクトリを重複排除することで節約されるディスク領域の量を評価できます。手順

1. isi dedupe settings modify コマンドを実行して、評価するディレクトリを指定します。次のコマンドを実行すると、/ifs/data/archive に対する重複排除による節約を評価するように SmartDedupe が構成されます。

isi dedupe settings modify --assess-paths /ifs/data/archive

複数のディレクトリを評価した場合、ディスクの節約は重複排除レポートでディレクトリによって区別されません。

2. 次のコマンドを実行して、評価ジョブを開始します。

isi job jobs start dedupeassessment


SmartDedupe ライセンスの機能 643

3. 次のコマンドを実行して、評価レポートの ID を識別します。

isi dedupe reports list

4. isi dedupe reports view コマンドを実行して、スペースの節約の見積もりを表示します。次のコマンドを実行すると、ID が 46 の重複排除レポートに記録された節約の見積もりが表示されます。

isi dedupe reports view 46

重複排除設定の指定重複排除するディレクトリを指定できます。手順

1. isi dedupe settings modify コマンドを実行して、重複排除するディレクトリを指定します。次のコマンドを実行すると、重複排除のターゲットが/ifs/data/archive および/ifs/data/media になります。

isi dedupe settings modify --paths /ifs/data/media,/ifs/data/archive

2. (オプション) 重複排除ジョブの設定を変更するには、isi job types modify コマンドを実行します。次のコマンドを実行すると、毎週金曜日の午後 10:00 に実行する重複排除ジョブが構成されます。

isi job types Dedupe --schedule "Every Friday at 10:00 PM"

重複排除によるスペースの節約の表示重複排除で現在節約しているディスク領域の量を表示できます。手順


isi dedupe stats

重複排除レポートの表示重複排除ジョブの完了後に、重複排除レポートでジョブに関する情報を表示できます。



手順1. (オプション) 表示する重複排除レポートの ID を識別するには、次のコマンドを実行します。


2. isi dedupe reports view コマンドを実行して重複排除レポートを表示します。次のコマンドを実行すると、ID が 44 の重複排除レポートが表示されます。


重複排除ジョブレポート情報重複排除ジョブレポートで次の重複排除固有情報を表示できます。Start time

重複排除ジョブの開始時刻。

End time

重複排除ジョブの終了時刻。

Iteration Count

SmartDedupe がサンプリングプロセスを中断した回数。 SmartDedupe が大量のデータをサンプリングしている場合、SmartDedupeはデータの重複排除を開始するためにサンプリングを中断することがあります。 SmartDedupe がサンプリングされたデータの重複排除を終了した後、SmartDedupeは残りのデータのサンプリングを続行します。

Scanned blocks

指定した重複排除済みディレクトリにあるブロックの総数。

Sampled blocks

SmartDedupe によってインデックスエントリーが作成されたブロック数。

Deduped blocks

重複排除されたブロック数。

Dedupe percent

重複排除されたスキャン済みブロックの割合。

Created dedupe requests

作成された重複排除リクエストの総数。一致するデータブロックのペアごとに重複排除リクエストが作成されます。たとえば、すべて一致するデータブロックが 3個ある場合、SmartDedupeでは 2 つのリクエストが作成されます。リクエストの 1 つが file1 と file2 をペアリングし、別のリクエストは file2 と file3 をペアリングすることがあります。

Successful dedupe requests

正常に完了した重複排除リクエストの数。

Failed dedupe requests

失敗した重複排除リクエストの数。重複排除リクエストに失敗した場合、ジョブも失敗したことは意味しません。重複排除リクエストは、いくつかの理由で失敗することがあります。たとえば、サンプリング後にファイルが変更された可能性があります。


重複排除ジョブレポート情報 645

Skipped files

重複排除ジョブによってスキャンされなかったファイルの数 SmartDedupeは、いくつかの理由でファイルをスキップします。たとえば、SmartDedupe では、すでにスキャンされ、それ以降変更されていないファイルがスキップされます。 SmartDedupe では、4 KB より小さいファイルもすべてスキップされます。

Index entries

インデックスに現在存在するエントリーの数。

Index lookup attempts

以前の重複排除ジョブによって実行された検索の総数に、この重複排除ジョブによって実行された検索の数を加えた数。検索では、インデックスが作成されたブロックとインデックスが作成されていないブロックとの照合が重複排除ジョブによって試行されます。

Index lookup hits

インデックスエントリーが一致したブロックの数。

重複排除情報重複排除によって節約されるディスク領域の量に関する情報を表示できます。次の情報が isi dedupe stats コマンドの出力に表示されます。Cluster Physical Size

クラスター上の物理ディスク領域の合計容量。

Cluster Used Size

クラスター上のデータが現在占有しているディスク領域の合計容量。

Logical Size Deduplicated

レポートされたファイルサイズに関して重複排除されたディスク領域の量。たとえば、すべて 5GB の 3 つの同一ファイルがある場合、重複排除される論理サイズは 15 GB です。

Logical Saving

レポートされたファイルサイズに関して重複排除によって節約されたディスク領域の量。たとえば、すべて 5 GB の 3 つの同一ファイルがある場合、論理的な節約は 10 GB です。

Estimated Size Deduplicated

保護のオーバーヘッドとメタデータを含め、重複排除された物理ディスク領域の合計容量。たとえば、すべて 5 GB の 3 つの同一ファイルがある場合、ファイルメタデータおよび保護オーバーヘッドによって消費されるディスク領域により、重複排除される見積もりサイズは 15 GB より大きくなります。

Estimated Physical Saving

保護のオーバーヘッドとメタデータを含め、重複排除によって節約される物理ディスク領域の合計容量。たとえば、すべて 5 GB の 3 つの同一ファイルがある場合、ファイルメタデータおよび保護オーバーヘッドによって占有される領域が重複排除によって節約されたため、物理的な節約の見積もりは 10 GB より大きくなります。

重複排除コマンド重複排除コマンドを使用すると、データの重複排除を制御できます。重複排除コマンドは、SmartDedupe ライセンスをアクティブ化した場合にのみ使用できます。



isi dedupe settings modify

重複排除ジョブの設定を変更します。

構文

isi dedupe settings modify [{[--paths ［<path>］]... | --clear-paths}] [--add-paths ［<path>］]... [--remove-paths ［<path>］]... [{[--assess-paths ［<path>］]... | --clear-assess-paths] [--add-assess-paths ［<path>］]... [--remove-assess-paths ［<path>］]... [--verbose]

オプション--paths［<path>］

指定したルートディレクトリの下にあるファイルを重複排除します。

--clear-paths以前に指定したすべてのルートディレクトリの重複排除を停止します。このオプションを指定して isi dedupe settings modify コマンドを実行する場合は、--paths または--add-path のいずれかを指定してコマンドを再度実行して重複排除を再開する必要があります。

--add-paths［<path>］すでに重複排除されているディレクトリに加えて、指定したルートディレクトリの下にあるファイルを重複排除します。

--remove-paths［<path>］指定したルートディレクトリの重複排除を停止します。

--assess-paths［<path>］指定したルートディレクトリの下にあるファイルが重複排除される場合に節約されるスペースの量を評価します。

--clear-assess-paths以前に指定したルートディレクトリが重複排除される場合に節約されるスペースの量の評価を停止します。このオプションを指定して isi dedupe settings modify コマンドを実行する場合は、--paths または--add-path のいずれかを指定してコマンドを再度実行して重複排除を再開する必要があります。

--add-assess-paths［<path>］すでに評価されているディレクトリに加えて、指定したルートディレクトリが重複排除される場合に節約されるスペースの量を評価します。

--remove-assess-paths［<path>］指定したルートディレクトリが重複排除される場合に節約されるスペースの量の評価を停止します。


isi dedupe settings modify 647

{--verbose | -v}


例次のコマンドを実行すると、/ifs/data/active と /ifs/data/media の重複排除が開始します。

isi dedupe settings modify --add-paths /ifs/data/active,/ifs/data/media

次のコマンドを実行すると、/ifs/data/active と /ifs/data/media の重複排除が停止します。

isi dedupe settings modify --remove-paths /ifs/data/active,/ifs/data/media

isi dedupe settings view

現在の重複排除設定を表示します。

構文

isi dedupe settings view


isi dedupe stats

重複排除によって節約されるデータ量に関する情報を表示します。

構文

isi dedupe stats


例重複排除によるスペース節約に関する情報を表示するには、次のコマンドを実行します。

isi dedupe stats


Cluster Physical Size: 17.019G Cluster Used Size: 4.994G LogicalSize Deduplicated: 13.36M Logical Saving: 11.13M Estimated SizeDeduplicated: 30.28M Estimated Physical Saving: 25.23M


重複排除レポートのリストを表示します。



構文

isi dedupe reports list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]





{--no-header | -a}

ヘッダーなしのテーブル出力を表示します。

{--no-footer | -z}

フッターなしのテーブル出力を表示します。フッターにスナップショットの合計が表示されます（スナップショットによって使用されているストレージ領域の合計量など）。

{--verbose | -v}


例重複排除レポートのリストを表示するには、次のコマンドを実行します。



Time Job ID Job Type --------------------------------------- 2013-05-09T11:03:37 4 Dedupe 2013-05-10T00:02:27 8 Dedupe 2013-05-15T13:03:47 12 Dedupe 2013-05-16T00:02:32 16 Dedupe 2013-05-17T00:02:32 19 Dedupe 2013-05-09T16:14:04 5 DedupeAssessment --------------------------------------- Total: 6

isi dedupe reports view

重複排除レポートを表示します。

構文

isi dedupe reports view <job-id>

オプション<job-id>

指定した ID の重複排除ジョブの重複排除レポートを表示します。



例次のコマンドを実行すると、重複排除ジョブが表示されます。



Time: 2013-10-14T09:39:22 Job ID: 52 Job Type: Dedupe Reports Time : 2013-10-14T09:39:22 Results : Dedupe job report:{ Start time = 2013-Oct-14:09:33:34 End time = 2013-Oct-14:09:39:22 Iteration count = 1 Scanned blocks = 1716 Sampled blocks = 78 Deduped blocks = 1425 Dedupe percent = 83.042 Created dedupe requests = 65 Successful dedupe requests = 65 Failed dedupe requests = 0 Skipped files = 0 Index entries = 38 Index lookup attempts = 38 Index lookup hits = 0 } Elapsed time: 347 seconds Aborts: 0 Errors: 0 Scanned files: 6 Directories: 2 2 paths: /ifs/data/dir2, /ifs/data/dir1 CPU usage: max 29% (dev 2), min 0% (dev 1), avg 6% Virtual memory size: max 128388K (dev 1), min 106628K (dev 1), avg 107617K Resident memory size: max 27396K (dev 1), min 9980K (dev 2), avg 11585K Read: 2160 ops, 124437504 bytes (118.7M) Write: 30570 ops, 222851584 bytes (212.5M)



第 16 章

SyncIQ を使用したデータレプリケーション


l SyncIQ のデータレプリケーションの概要................................................................. 652l レプリケーションポリシーとジョブ.............................................................................. 652l レプリケーションスナップショット............................................................................... 658l SyncIQ を使用したデータフェールオーバーおよびフェールバック................................... 659l SyncIQ の復旧時間と目標..................................................................................662l レプリケーションポリシーの優先度.......................................................................... 662l SyncIQ ライセンスの機能.....................................................................................663l レプリケーションポリシーの作成.............................................................................. 663l リモートクラスターへのレプリケーションの管理............................................................668l SyncIQ を使用したデータフェールオーバーおよびフェールバックの開始......................... 670l 古い SmartLock ディレクトリのディザスタリカバリの実行.............................................674l レプリケーションポリシーの管理.............................................................................. 676l ローカルクラスターへのレプリケーションの管理........................................................... 678l レプリケーションパフォーマンスルールの管理............................................................ 680l レプリケーションレポートの管理..............................................................................682l 失敗したレプリケーションジョブの管理.....................................................................685l データレプリケーションコマンド................................................................................687

SyncIQ を使用したデータレプリケーション 651

SyncIQのデータレプリケーションの概要OneFS では、SyncIQ ソフトウェアモジュールを介して、ある Isilon クラスタから別の Isilon クラスタにデータをレプリケートできます。Isilon クラスタ間でデータをレプリケートするには、両方の Isilon クラスタで SyncIQ ライセンスをアクティブ化する必要があります。ディレクトリレベルでデータをレプリケートできます。オプションで、特定のファイルやサブディレクトリをレプリケート対象から除外することもできます。SyncIQはスナップショットを作成および参照して、ソースディレクトリの整合性のあるポイントインタイムイメージをレプリケートします。データとともに ACL（アクセス制御リスト）や ADS（代替データストリーム）などのメタデータもレプリケートされます。SyncIQ を使用して、別の Isilon クラスタ上のデータの整合性のとれたレプリカを管理し、データレプリケーションの頻度を制御することができます。たとえば、毎日午後 10時に、プライマリクラスタのデータをセカンダリクラスタにバックアップするように SyncIQ を構成することができます。データセットのサイズによっては、最初のレプリケーションオペレーションに超時間がかかる場合もあります。ただしその後は、レプリケーションオペレーションはより迅速に完了します。SyncIQ には自動フェールオーバーおよびフェールバック機能が用意されており、プライマリクラスタが使用不可になった場合でも、セカンダリ Isilon クラスタで操作を継続することができます。

IsilonSD Edge での SyncIQ へのアクセスSyncIQ ソフトウェアモジュールは、IsilonSD Edge の購入済みライセンスでのみ利用可能です。この製品のパッケージには無償ライセンスは含まれていません。したがって、SyncIQ のバックアップとレプリケーションの機能にアクセスするには IsilonSD Edge のライセンスを購入する必要があります。

レプリケーションポリシーとジョブデータレプリケーションはレプリケーションポリシーとレプリケーションジョブに従って調整されます。レプリケーションポリシーには、レプリケートするデータ、データのレプリケート先、データのレプリケート頻度を指定します。レプリケーションジョブは、Isilon クラスター間でデータをレプリケートする操作です。SyncIQは、レプリケーションポリシーに従ってレプリケーションジョブを生成します。レプリケーションポリシーは、ソースとターゲットの 2 つのクラスタを指定します。レプリケーションポリシーが存在するクラスタはソースクラスタです。データのレプリケート先となるクラスタはターゲットクラスタです。レプリケーションポリシーが開始すると、SyncIQはそのポリシーに対応するレプリケーションジョブを生成します。レプリケーションジョブを実行すると、ソースクラスタ上のディレクトリツリーのファイルがターゲットクラスタ上のディレクトリツリーにレプリケートされます。これらのディレクトリツリーはソースディレクトリおよびターゲットディレクトリと呼ばれます。レプリケーションポリシーによって作成された最初のレプリケーションジョブが完了した後、ターゲットディレクトリとそのターゲットディレクトリに含まれるすべてのファイルが読み取り専用に設定されます。このディレクトリとファイルは、同じレプリケーションポリシーに属する別のレプリケーションジョブによってのみ変更できます。クラスターに 1,000個を超えるポリシーを作成しないことを推奨します。

権限エラーを防ぐため、ACL ポリシーがソースクラスタとターゲットクラスタで同じ設定になっていることを確認してください。

2 つのタイプのレプリケーションポリシーを作成することができます。それらは同期ポリシーとコピーポリシーです。同期ポリシーでは、ターゲットクラスタでソースディレクトリの正確なレプリカが維持されま



す。ソースディレクトリからファイルまたはサブディレクトリが削除された場合、ポリシーを再実行すると、これらのファイルまたはディレクトリはターゲットクラスタからも削除されます。同期化ポリシーを使用して、ソースクラスタとターゲットクラスタ間のデータをフェールオーバーおよびフェールバックできます。ソースクラスタが使用不可になった場合、ターゲットクラスタのデータをフェールオーバーして、そのデータをクライアントで使用できるようにすることが可能です。ソースクラスタが再度使用可能になった時点でデータをソースクラスタにフェールバックできます。コピーポリシーでは、ソースクラスタに格納されたファイルの最新バージョンが維持されます。ただし、ソースクラスタからファイルが削除されても、そのファイルはターゲットクラスタからは削除されません。フェールバックは、コピーポリシーではサポートされていません。コピーポリシーは、アーカイブの目的でよく使用されます。コピーポリシーでは、ソースクラスタからファイルを削除しても、ターゲットクラスタ上のファイルは失われません。ソースクラスタのファイルを削除することによってソースクラスタのパフォーマンスが向上し、削除したファイルはターゲットクラスタ上で維持されます。このポリシーは、たとえば、ソースクラスタを本番用に使用し、ターゲットクラスタをアーカイブ専用に使用する場合などに便利です。SyncIQは、レプリケーションポリシーに対応するジョブを作成した後、そのジョブが完了するまで待機してから同じポリシーの別のジョブを作成します。クラスタに存在するレプリケーションジョブの数に制限はありませんが、ソースクラスタで一度に実行できるレプリケーションジョブは 50個以下です。クラスタに存在するレプリケーションジョブが 50個を超える場合、最初の 50個のジョブが実行されている間、その他のジョブはキューに登録され、実行を待機します。ターゲットクラスタが同時にサポートできるレプリケーションジョブの数に制限はありません。ただし、レプリケーションジョブが多くなると、より多くのクラスタリソースが必要となるため、より多くのコンカレントジョブが追加されてレプリケーション速度が低下します。レプリケーションジョブを実行するとき、OneFSはソースクラスタとターゲットクラスタにワーカーを生成します。ターゲットクラスタのワーカーがデータの受信と書き込みを行っている間に、ソースクラスタのワーカーはデータの読み出しと送信を行います。OneFS では、1 つのレプリケーションジョブ、1 つのノードに対して生成するワーカー数は最大 8 です。たとえば、5 ノードのクラスタでは、OneFSは 1 つのレプリケーションジョブに対して 40個以下のワーカーを作成します。1 つのレプリケーションジョブで任意の数のファイルおよびディレクトリをレプリケートできます。データの同期化に使用できるクラスターリソースとネットワーク帯域幅の量を制限することによって、大規模なレプリケーションジョブによるシステムへの過剰な負荷を回避できます。クラスタ内の各ノードでデータを送受信できるため、大規模なクラスタのデータレプリケーションが高速になります。

自動化されたレプリケーションポリシーレプリケーションポリシーはいつでも手動で開始できますが、ソースディレクトリの変更またはスケジュールに基づいて自動的に開始するようにレプリケーションポリシーを構成することもできます。スケジュールに従って実行するようにレプリケーションポリシーを構成できるため、レプリケーションが実行されるタイミングを制御できます。ディレクトリのスナップショットでキャプチャされたデータをレプリケートするポリシーを構成することもできます。SyncIQ でソースディレクトリに対する変更が検出されたときに開始するようにレプリケーションポリシーを構成して、SyncIQ によってターゲットクラスターのデータの最新バージョンが維持されるようにすることもできます。ポリシーのスケジューリングは、次の状況で役立つ場合があります。l ユーザーアクティビティが最小限のときにデータをレプリケートしたい場合l データがいつ変更されるかを正確に予測できる場合スケジュールに従って実行するようにポリシーを構成している場合、ジョブの最後の実行以降にソースディレクトリの内容に変更がない場合は実行しないようにポリシーを構成できます。ただし、ソースディレクトリの親ディレクトリまたはソースディレクトリの兄弟ディレクトリに変更があり、親ディレクトリのスナップショットを作成した場合、ソースディレクトリには変更がなくても、SyncIQはそのポリシーに対


自動化されたレプリケーションポリシー 653

するジョブを作成します。また、InsightIQ の FSA（File System Analytics）機能を使用してクラスターを監視する場合、FSA ジョブは<filepath>/ifs</filepath>のスナップショットを作成するため、FSA ジョブが実行されるたびにレプリケーションジョブが開始されることになります。ディレクトリのスナップショットに含まれているデータをレプリケートすることは、次の状況で役立つ場合があります。l スケジュールに従ってデータをレプリケートしたい場合で、スナップショットスケジュールに従ってソ

ースディレクトリのスナップショットがすでに生成されている場合l ソースとターゲットの両方のクラスターで同一のスナップショットを保持したい場合l 既存のスナップショットをターゲットクラスターにレプリケートしたい場合

これを実行するには、ターゲットクラスター上でアーカイブスナップショットを有効にする必要があります。この設定は、ポリシーの作成時にのみ有効にすることができます。

スナップショットをレプリケートするようにポリシーが構成されている場合は、指定された命名パターンに一致するスナップショットのみをレプリケートするように SyncIQ を構成できます。ソースディレクトリに変更が加えられたときに開始するようにポリシーを構成することは、次の状況で役立つ場合があります。l データのコピーを常に最新の状態で保持したい場合l 予測不能の間隔で大量の変更が加えられることが予想される場合ソースディレクトリに変更が加えられるたびに開始するように構成されたポリシーでは、SyncIQ によって 10秒ごとにソースディレクトリがチェックされます。SyncIQは、これらのファイルやディレクトリがレプリケーションから除外されるかどうかにかかわらず、ソースディレクトリの下にあるすべてのファイルとディレクトリをチェックします。このため、SyncIQは不必要にレプリケーションジョブを実行する場合があります。たとえば、newPolicy では/ifs/data/mediaはレプリケートされるが、/ifs/data/media/tempは除外されると仮定します。/ifs/data/media/temp/file.txt に変更が行われた場合、SyncIQは/ifs/data/media/temp/file.txt がレプリケートされなくても newPolicy を実行します。ソースディレクトリに変更が加えられるたびに開始するようにポリシーが構成され、レプリケーションジョブが失敗した場合、SyncIQはポリシーの実行を再試行する前に 1分待ちます。SyncIQ では、この遅延が失敗のたびに急激に増加し、最大 8時間にまで達します。ポリシーを手動で実行することで遅延をいつでも上書きできます。ポリシーのジョブが正常に完了した後、SyncIQは 10秒ごとのソースディレクトリのチェックを再開します。ソースディレクトリに変更があるたびに開始するようにポリシーが構成されている場合、ソースディレクトリの変更後、指定期間待機してからジョブを開始するように SyncIQ を構成できます。

最小変更内容の頻繁な同期とシステムリソースの過度な負担を回避するため、ソースディレクトリの使用頻度が非常に高いときに継続的レプリケーションを行わないように構成することを強くお勧めします。このような場合は、変更トリガーが数時間遅延するように継続的レプリケーションを構成して、変更グループをまとめることをお勧めします。

ソースクラスターとターゲットクラスターの関連づけSyncIQ では、ジョブの初回実行時にターゲットクラスターにマークを付けることで、レプリケーションポリシーをターゲットクラスターに関連づけます。ターゲットクラスターの名前または IP アドレスを変更しても、ターゲットクラスターのマークは存続します。SyncIQは、レプリケーションポリシーの実行時にこのマークをチェックして、データが適切な場所にレプリケートされたかどうかを確認します。ターゲットクラスターでは、レプリケーションポリシーとターゲットディレクトリ間の関連づけを手動で解除できます。ソースクラスターとターゲットクラスター間の関連づけを解除すると、ターゲットクラスターのマークは削除されます。関連づけが古くなった場合は、ターゲットの関連づけを手動で解除できま



す。ポリシーの関連づけを解除すると、ソースクラスターではポリシーは無効になり、実行できません。無効化されたポリシーを再度実行するには、レプリケーションポリシーをリセットする必要があります。ポリシーの関連づけを解除すると、次回のレプリケーションポリシーの実行時にフルレプリケーションまたは差分レプリケーションが行われます。フルレプリケーションまたは差分レプリケーションの実行時に、SyncIQ によってソースクラスターとターゲットクラスター間の新しい関連づけが作成されます。レプリケートするデータ量によっては、フルレプリケーションまたは差分レプリケーションが完了するまでに長時間かかる場合があります。

SyncIQ外のターゲットクラスターの構成を変更すると、エラー状態になり、ソースクラスターとターゲットクラスター間の関連づけが事実上壊れてしまう場合があります。たとえば、ターゲットクラスターの DNS レコードを変更すると、この問題が発生するおそれがあります。SyncIQ外のターゲットクラスターの構成を大きく変更する必要がある場合は、SyncIQポリシーがターゲットクラスターにも接続できることを確認してください。

NAT を使用した SyncIQ ソースおよびターゲットクラスタの構成ソースクラスタおよびターゲットクラスタでは、SyncIQ フェールオーバーとフェールバックに NAT（ネットワークアドレス変換）を使用できますが、構成が適切である必要があります。このような場合は通常、ソースクラスタとターゲットクラスタは物理的に離れた場所に存在し、ルーティング不可能なプライベートアドレス空間を使用しており、インターネットには直接接続していません。各クラスタには通常、一定範囲のプライベート IP アドレスが割り当てられています。たとえば 12ノードのクラスタには、192.168.10.11 から 192.168.10.22 という IP アドレスが割り当てられています。パブリックインターネットを介して通信するには、ソースクラスタとターゲットクラスタのすべての送受信データパケットを、NAT対応のファイアウォールまたはルータで適切に変換してリダイレクトする必要があります。

SyncIQのデータは暗号化されません。パブリックインターネット経由で SyncIQジョブを実行する場合、データの盗難に対する保護はありません。

SyncIQ を使用すれば、レプリケーションジョブをクラスタ内の特定のノードに制限することができます。たとえば、12 ノードで構成されるクラスタで、そのうちの 3 ノードだけにレプリケーションジョブを制限することができます。NAT をサポートするためには、ソースクラスタとターゲットクラスタの間に 1対1 の関係を確立する必要があります。したがって、ソースクラスタでレプリケーションジョブを 3 ノードに制限する場合は、ターゲットクラスタの 3 ノードを関連づける必要があります。この例では、インバウンドマッピングとも呼ばれる静的 NAT を構成する必要があります。ソースクラスタとターゲットクラスタの両方で、各ノードに割り当てられたプライベートアドレスに対して、静的NAT アドレスを関連づけます。例：

ソースクラスタターゲットクラスタ

ノード名プライベートアドレス

NAT アドレスノード名プライベートアドレス

NAT アドレス

source-1 192.168.10.11 10.8.8.201 target-1 192.168.55.101

10.1.2.11


NAT を使用した SyncIQ ソースおよびターゲットクラスタの構成 655

ソースクラスタターゲットクラスタ

ノード名プライベートアドレス

NAT アドレスノード名プライベートアドレス

NAT アドレス

source-2 192.168.10.12 10.8.8.202 target-2 192.168.55.102

10.1.2.12

source-3 192.168.10.13 10.8.8.203 target-3 192.168.55.103

10.1.2.13

静的 NAT を構成するには、6 ノードすべての/etc/local/hosts ファイルを編集し、適切なNAT アドレスとノード名を追加して、対応する相手に関連づける必要があります。たとえば、ソースクラスタの 3 ノードの/etc/local/hosts ファイルのエントリーは次のようになります。

10.1.2.11 target-1

10.1.2.12 target-2

10.1.2.13 target-3

同様に、ターゲットクラスタの 3 ノードの/etc/local/hosts ファイルを編集し、NAT アドレスと関連づけられたソースクラスタのノードの名前を指定します。たとえば、ターゲットクラスタの 3 ノードのエントリーは次のようになります。

10.8.8.201 source-1

10.8.8.202 source-2

10.8.8.203 source-3

ソースクラスタのノードから SyncIQ データのパケットを受信すると、NAT サーバはパケットヘッダーとノードのポート番号および内部 IP アドレスを、NAT サーバ自体のポート番号と外部 IP アドレスに置き換えます。ソースネットワーク上の NAT サーバがインターネットを介してターゲットネットワークにパケットを送信すると、もう 1台の NAT サーバプラットフォームが同様のプロセスを実行し、ターゲットノードにデータを転送します。データをフェールバックする場合は、プロセスが逆になります。このタイプの構成では、SyncIQ が正しい接続アドレスを判断できるため、SyncIQはデータを送受信することができます。この場合、SmartConnect ゾーン構成は必要ありません。SyncIQ が使用するポートの詳細については、お使いの OneFSバージョンの「OneFS セキュリティ構成ガイド」を参照してください。

フルレプリケーションと差分レプリケーションレプリケーションポリシーに修復できない問題が発生した場合（例：ターゲットクラスターで関連づけが解除された場合など）、レプリケーションポリシーをリセットする必要が生じることがあります。レプリケーションポリシーをリセットすると、次回のポリシー実行時に SyncIQ によってフルレプリケーションまたは差分レプリケーションが行われます。SyncIQ が実行するレプリケーションのタイプを指定できます。フルレプリケーションでは、SyncIQは、ターゲットクラスターに存在するデータの内容に関係なく、ソースクラスターからすべてのデータを転送します。フルレプリケーションはネットワーク帯域幅の使用量が多く、長時間かかる場合がありますが、CPU使用率はフルレプリケーションの方が差分レプリケーションより低くなります。SyncIQ の差分レプリケーションでは、対象ファイルがすでにターゲットクラスターに存在するかどうかを確認してから、ターゲットクラスターに存在しないデータのみを転送します。差分レプリケーション



は、フルレプリケーションよりネットワーク帯域幅の使用量が少ないものの、CPU の使用量は多くなります。レプリケーションジョブに使用する CPU リソースが十分にある場合は、差分レプリケーションの方がフルレプリケーションより高速になる可能性があります。

レプリケーションジョブのリソース消費量の制御レプリケーションジョブによって発生するネットワークトラフィック、レプリケーションジョブにるファイルの送信レート、レプリケーションジョブによる CPU の使用率、レプリケーションジョブ用に作成されるワーカー数を制限するルールを作成することができます。SyncIQ が作成できるワーカーの総数の割合を制限する場合、クラスタハードウェアによって決定される、SyncIQ が作成できるワーカーの合計数に制限が適用されます。ターゲットクラスタのワーカーがデータの受信と書き込みを行っている間に、ソースクラスタのワーカーはデータの読み出しと送信を行います。

ファイル操作ルールは、転送時間が 1秒を超えるファイルや、サイズに大差があるファイルでは正確に動作しない可能性があります。

レプリケーションポリシーの優先度レプリケーションポリシーを作成する場合、他のジョブよりも優先されるようにポリシーを構成できます。最大数のジョブがすでに実行されているために複数のレプリケーションジョブがキューに登録されている場合、優先度がないジョブの前に優先度があるポリシーによって作成されたジョブが実行されます。たとえば、50個のジョブが現在実行されていると仮定します。優先度がないジョブが作成されて実行のキューに入れられました。次に、優先度があるジョブが作成され、実行キューに入れられました。優先度があるジョブは、優先度がないジョブが長期間キューに登録されている場合でも、次に実行されます。SyncIQ も優先度がないレプリケーションジョブを一時停止し、優先度があるジョブが実行されるようにします。たとえば、50個のジョブがすでに実行されていて、そのうちの 1 つに優先度がないものとします。優先度があるレプリケーションジョブが作成されると、SyncIQは優先度がないレプリケーションジョブを一時停止し、優先度があるジョブを実行します。

レプリケーションレポートレプリケーションジョブの完了後に、SyncIQ では、ジョブを実行した時間の長さ、転送されたデータ量、発生したエラーなど、ジョブに関する詳細情報を含むレプリケーションレポートが生成されます。レプリケーションレポートが中断された場合、SyncIQ ではそれまでのジョブの進行状況に関するサブレポートを作成できます。その後ジョブが再開されると、ジョブが完了するか再び中断されるまでのジョブの進行状況に関する別のサブレポートが SyncIQ によって作成されます。SyncIQ では、ジョブが正常に完了するまで、ジョブが中断されるたびにサブレポートが作成されます。ジョブに対して複数のサブレポートが作成される場合、SyncIQ ではサブレポートの情報が単一のレポートに結合されます。レプリケーションレポートは定期的に削除されます。SyncIQ で保持するレプリケーションレポートの最大数と、SyncIQ でレプリケーションレポートを保持する期間を指定できます。クラスターのレプリケーションレポートが最大数を超えると、新しいレポートが作成されるたびに最も古いレポートが削除されます。レプリケーションレポートの内容はカスタマイズできません。


レプリケーションジョブのリソース消費量の制御 657

レプリケーションポリシーを削除すると、そのポリシーで生成されたすべてのレポートが自動的に削除されます。

レプリケーションスナップショットSyncIQは、Isilon クラスター間のレプリケーション、フェイルオーバー、フェイルバックを容易にするためにスナップショットを生成します。SyncIQ によって生成されたスナップショットは、ターゲットクラスターでのアーカイブの目的にも使用できます。

ソースクラスタースナップショットSyncIQは、ソースクラスターにスナップショットを生成して、レプリケートされたポイントインタイムイメージの整合性を確保し、未変更のデータがターゲットクラスターに送信されないようにします。レプリケーションジョブを実行する前に、SyncIQはソースディレクトリのスナップショットを作成します。その後、クラスターの現在の状態ではなく、スナップショットに従ってデータをレプリケートし、ユーザーがソースディレクトリのファイルを変更しても、レプリケートされるソースディレクトリの正確なポイントインタイムイメージを確保できるようにします。たとえば、/ifs/data/dir/のレプリケーションジョブが午後 1時に開始し、午後 1時 20分に終了する場合、/ifs/data/dir/file が午後 1時 10分に変更されると、/ifs/data/dir/file を午後 1時 15分までレプリケートしなかったとしても、この変更はターゲットクラスターには反映されません。SnapshotIQ ソフトウェアモジュールで生成されたスナップショットに従ってデータをレプリケートできます。SnapshotIQ のスナップショットに従ってデータをレプリケートする場合、SyncIQ ではソースディレクトリの別のスナップショットは生成されません。この方法は、複数の Isilon クラスターにデータの同一コピーをレプリケートする場合に便利です。SyncIQ でソーススナップショットを生成して、レプリケーションジョブによって未変更のデータが転送されないようにすることもできます。レプリケーションポリシーのジョブが作成されると、SyncIQはそのジョブがポリシーの最初のジョブであるかどうかを確認します。ポリシーの最初のジョブではない場合、SyncIQは以前のジョブ用に生成されたスナップショットを新しいジョブ用に生成されたスナップショットと比較します。SyncIQは、レプリケーションポリシー用にスナップショットが最後に生成されたとき以降に変更されたデータのみをレプリケートします。レプリケーションジョブが完了すると、SyncIQは以前のソースクラスターのスナップショットを削除して、次回ジョブが実行されるまで、最新のスナップショットを維持します。

ターゲットクラスタースナップショットレプリケーションジョブを実行すると、SyncIQはフェイルオーバー動作を容易にするためにターゲットクラスターにスナップショットを生成します。レプリケーションポリシーに次のレプリケーションジョブを作成すると、このレプリケーションジョブによって新しいスナップショットが作成され、古いスナップショットは削除されます。ターゲットクラスターで SnapshotIQ ライセンスがアクティブ化されている場合は、レプリケーションポリシーを構成して、後続のレプリケーションジョブを実行した後もターゲットクラスターに残る追加のスナップショットを生成できます。SyncIQは、ターゲットクラスターに SnapshotIQ ライセンスが構成されているかどうかに関係なく、ターゲットクラスターのフェイルオーバーを容易にするスナップショットを生成します。フェイルオーバース



ナップショットはレプリケーションジョブの完了時に生成されます。SyncIQ では、レプリケーションポリシーごとに 1 つのフェイルオーバースナップショットのみを保持し、新しいスナップショットの作成後には古いスナップショットを削除します。ターゲットクラスターで SnapshotIQ ライセンスがアクティブ化されている場合は、SyncIQ を構成して、後続のレプリケーションジョブの実行時に自動的に削除されないアーカイブスナップショットをターゲットクラスター上に生成できます。アーカイブスナップショットには、フェイルオーバー用に生成されたスナップショットと同一のデータが格納されます。アーカイブスナップショットをターゲットクラスターに保存する期間は構成可能です。アーカイブスナップショットへのアクセス方法は、クラスターに生成された他のスナップショットにアクセスする場合と同様です。

SyncIQ を使用したデータフェールオーバーおよびフェールバックSyncIQ を使用すると、Isilon クラスタ間でデータの自動フェールオーバーおよびフェールバック操作を実行できます。プライマリクラスタがオフラインになると、セカンダリ Isilon クラスタにフェールオーバーされるため、クライアントは引き続きデータにアクセスすることができます。プライマリクラスタが使用可能な状態に戻った時点で、プライマリクラスタにフェールバックします。SyncIQ のフェールオーバーおよびフェールバックでは、クライアントが元々アクセスしていたクラスタをプライマリクラスタと呼びます。クライアントデータがレプリケートされるクラスタをセカンダリクラスタと呼びます。フェールオーバーとは、クライアントがセカンダリクラスタ上のデータにアクセスしたり、データを表示、変更、削除できるようにするプロセスです。フェールバックとは、クライアントがプライマリクラスタのワークフローにアクセスできるようにするプロセスです。フェールバック中にセカンダリクラスタ上のデータに加えられたあらゆる変更は、ミラーポリシーを使用したレプリケーションジョブにより、プライマリクラスタにコピーされます。フェールオーバーとフェールバックはディザスタリカバリの際にも役立ちます。たとえばプライマリクラスタが自然災害によって損傷を受けた場合、クライアントをセカンダリクラスタに移行して、通常の運用を継続することができます。プライマリクラスタが修復されてオンラインに戻ったら、クライアントをプライマリクラスタに戻します。フェールオーバーおよびフェールバックを使用すれば、スケジュール設定によるクラスタのメンテナンスも容易に行えます。たとえば、プライマリクラスタをアップグレードする場合、アップグレードが完了するまでクライアントをセカンダリクラスタに移行し、完了後にクライアントを再度プライマリクラスタに移行することができます。

データのフェールオーバーとフェールバックは、エンタープライズ SmartLock ディレクトリとコンプライアンス SmartLock ディレクトリの両方をサポートします。コンプライアンス SmartLock ディレクトリはSEC（米国証券取引委員会）規制 17a-4（f）を遵守しており、書き換え不能、消去不能のフォーマットでの記録の保存にはセキュリティブローカーとセキュリティディーラーが必要です。SyncIQは、フェールオーバーおよびフェールバック時にも、17a-4（f）規制のコンプライアンスを適切に管理します。

データフェールオーバーフェールオーバーとは、セカンダリクラスタ上にデータを準備して、通常のクライアント操作をセカンダリクラスタにスイッチするプロセスです。セカンダリクラスタへのフェールオーバー後、セカンダリクラスタ上のデータにアクセス、表示、変更が行えるようにクライアントをリダイレクトします。フェールオーバーを実行する前に、プライマリクラスタで SyncIQ レプリケーションポリシーを作成して実行しておく必要があります。その後、セカンダリクラスタでフェールオーバープロセスを開始します。


SyncIQ を使用したデータフェールオーバーおよびフェールバック 659

複数のレプリケーションポリシーに分散したプライマリクラスタからデータを移行するには、レプリケーションポリシーごとにフェールオーバーを開始する必要があります。レプリケーションポリシーのアクションがコピーに設定されている場合、プライマリクラスタで削除されたファイルは依然としてセカンダリクラスタには存在しています。セカンダリクラスタに接続すれば、プライマリクラスタで削除されたすべてのファイルを使用することができます。関連するレプリケーションジョブの実行中にレプリケーションポリシーのフェールオーバーを開始すると、フェールオーバー操作は完了しますが、レプリケーションジョブは失敗します。データが不整合の状態になっている可能性があるため、SyncIQは最後に成功したレプリケーションジョブで生成されたスナップショットを使用して、セカンダリクラスタのデータを最新のリカバリポイントに復元します。プライマリクラスタで災害が発生した場合、最後に成功したレプリケーションジョブの開始以後に行われたデータの変更は、セカンダリクラスタに反映されません。クライアントがセカンダリクラスタに接続すると、セカンダリクラスタのデータが、最後に成功したレプリケーションジョブの開始時と同じ内容で表示されます。

データフェールバックフェールバックとは、プライマリクラスタとセカンダリクラスタを、フェールオーバー操作前の役割にリストアするプロセスです。フェールバックが完了すると、プライマリクラスタに最新のデータセットが保存されて、クライアントのホスティング、設定された SyncIQ レプリケーションポリシーによるセカンダリクラスタへのデータのレプリケートなど、通常の運用が再開されます。フェールバックプロセスの最初のステップでは、セカンダリクラスタのデータに対して行われたすべての変更によってプライマリクラスタが更新されます。次のステップでは、クライアントからアクセスできるようにプライマリクラスタが準備されます。最後のステップでは、プライマリクラスタからセカンダリクラスタへのデータレプリケーションが再開されます。フェールバックプロセスが完了したら、プライマリクラスタのデータにアクセスするようにユーザーをリダイレクトします。セカンダリクラスタに加えられた変更によりプライマリクラスタを更新するには、SyncIQはソースディレクトリの SyncIQ ドメインを作成する必要があります。レプリケーションポリシーでフェールバックできるのは、次のすべての基準を満たすデータです。l ポリシーがフェールオーバーされている。l ポリシーは同期ポリシーである（コピーポリシーではない）。l レプリケーションからファイルまたはディレクトリが除外されていない。

SmartLock コンプライアンスモードのフェールオーバーとフェールバックバージョン 8.0.1以降、OneFSは SmartLock コンプライアンスモードドメインのターゲットクラスタへのレプリケーションをサポートします。このサポートには、これらの SmartLock ドメインのフェールオーバーとフェールバックも含まれています。SmartLock コンプライアンスモードは SEC（米国証券取引委員会）規制 17a-4（f）に準拠しているため、コンプライアンスモードのWORM ドメインのフェールオーバーとフェールバックにはいくつかの計画と構成が必要です。最も重要なのは、プライマリ（ソース）とセカンダリ（ターゲット）クラスタの両方が、初期設定でコンプライアンスモードクラスタとして構成されている必要があることです。このプロセスは、ノードモデルのIsilon インストールガイド（「Isilon S210 インストールガイド」など）に記述されています。さらに両方のクラスタに、コンプライアンスタイプがWORM ドメインとして定義されたディレクトリが必要です。たとえば、WORM ファイルをプライマリクラスタの SmartLock コンプライアンスドメイン/ifs/financial-records/locked に保存する場合、フェールオーバーするターゲットクラスタにも SmartLock コンプライアンスドメインが存在している必要があります。ソースとターゲットのSmartLock コンプライアンスドメインのパス名は同じでもかまいませんが、必須ではありません。



また、両方のクラスタで、コンプライアンスクロックを開始する必要があります。

SmartLock レプリケーションの制限事項SyncIQ での SmartLock ディレクトリのレプリケートとバックアップの制限事項に注意してください。SyncIQ ポリシーのソースディレクトリまたはターゲットディレクトリが SmartLock ディレクトリの場合、レプリケーションとフェールバックが許可されない場合があります。詳細については、次の表を参照してください。

ソースディレクトリタイプ

ターゲットディレクトリタイプレプリケーション可能

フェールバック可能

SmartLock以外 SmartLock以外可可

SmartLock以外 SmartLock エンタープライズ可可（ファイルがターゲットクラスタでWORM状態にコミットされる場合を除く）

SmartLock以外 SmartLock コンプライアンス × ×

SmartLock エンタープライズ

SmartLock以外はい（ただし、ファイルの保存日とコミットステータスは失われる）

可（ただし、ファイルはWORM

状態にならない）


SmartLock エンタープライズ可可（新たにコミットされたWORM ファイルを含む）


SmartLock コンプライアンス × ×

SmartLock コンプライアンス

SmartLock以外 × ×


SmartLock エンタープライズ × ×


SmartLock コンプライアンス可可（新たにコミットされたWORM ファイルを含む）

SmartLock ディレクトリを別の SmartLock ディレクトリにレプリケートする場合は、レプリケーションポリシーを実行する前にターゲットの SmartLock ディレクトリを作成する必要があります。ターゲットディレクトリが存在しない場合は OneFS によってターゲットディレクトリが自動的に作成されますが、OneFS ではターゲット SmartLock ディレクトリは自動的には作成されません。ターゲットディレクトリが作成される前にエンタープライズディレクトリをレプリケートしようとした場合、OneFSは非SmartLock ターゲットディレクトリを作成し、レプリケーションジョブが成功します。ターゲットディレクトリが作成される前にコンプライアンスディレクトリをレプリケートした場合は、レプリケーションジョブが失敗します。SyncIQ ツールを使用して SmartLock ディレクトリを別の EMC Isilon クラスターにレプリケートすると、ファイルのWORM状態もレプリケートされます。ただし、SmartLock ディレクトリの構成設定はターゲットディレクトリに転送されません。たとえば、レプリケートするディレクトリに期限が 3月 4日に設定されているコミット済みファイルが存在する場合、ターゲットクラスタ上でもファイルの期限が 3月 4日に設定されます。ただし、ソースクラスタのディレクトリに設定されたファイルのコミット禁止期間が 1年を超えている場合、ターゲットディレクトリには同じ制限は自動的に設定されません。


SmartLock レプリケーションの制限事項 661

SyncIQの復旧時間と目標RPO（Recovery Point Objective：目標復旧時点）と RTO（Recovery Time Objective：目標復旧時間）は、災害が業務に及ぼす可能性のある影響度を表す尺度です。災害復旧のRPO と RTO をレプリケーションポリシーに従って計算できます。RPOは、クラスターが突然使用不可になった場合に許容されるデータ消失の最大時間です。Isilon クラスターでは、RPOは、最後に正常に完了したレプリケーションジョブが開始してからの経過時間です。RPOは、2 つの連続したレプリケーションジョブを実行し、完了するまでの時間より長くすることはできません。レプリケーションジョブの実行中に災害が発生した場合、セカンダリクラスター上のデータは最後にレプリケーションジョブが完了したときの状態に復元されます。たとえば、レプリケーションポリシーを 3時間ごとに実行するようにスケジュール設定し、レプリケーションジョブが完了するまでに 2時間かかる環境を考えてみましょう。レプリケーションジョブを開始して 1時間後に災害が発生した場合、その前に完了したジョブがデータのレプリケーションを開始してから 4時間が経過しているため、RPOは 4時間です。RTOは、災害後にクライアントがバックアップデータを使用できるようになるまでに必要な最大時間です。RTOは、特定のポリシーに対応するレプリケーションジョブの作成速度に応じて、必ず RPOより短いか、ほぼ等しくなります。レプリケーションジョブを連続して実行すると、つまり、前のレプリケーションジョブが完了する前に同じポリシーの別のレプリケーションジョブを作成すると、RTOは RPO とほぼ等しくなります。セカンダリクラスターをフェイルオーバーすると、クラスターのデータは最後のジョブが完了した時点の状態にリセットされます。データのリセットにかかる時間は、ユーザーがデータの変更に要した時間に比例します。インターバルをおいてレプリケーションジョブを実行すると、つまり、ポリシーのレプリケーションジョブが完了してから次のレプリケーションジョブを開始するまでに一定の時間を空けると、RTO と RPO の関係は災害発生時にレプリケーションジョブを実行するかどうかによって変わります。災害発生時にジョブが実行中の場合、RTOは RPO とほぼ等しくなります。災害発生時にジョブが実行されていない場合、最後のレプリケーションジョブを実行して以後セカンダリクラスターが未変更で、フェイルオーバー処理が即座に完了するため、RTOは微小です。

RPO アラートSyncIQ を構成して、指定した RPO（目標復旧時点）を超えたことに対してアラートを発行するOneFS のイベントを作成することができます。これらのイベントを表示するには他の OneFS のイベントと同じインターフェイスを使用します。これらのイベントのイベント IDは 400040020 です。これらのアラートのイベントメッセージは、次の形式に従っています。

SW_SIQ_RPO_EXCEEDED: SyncIQ RPO exceeded for policy <replication_policy>

たとえば、RPO を 5時間に設定します。ジョブが午後 1時 00分に開始し、午後 3時 00分に完了します。午後 3時 30分、2番目のジョブを開始します。2番目のジョブが午後 6時までに完了しなかった場合、SyncIQは OneFS のイベントを作成します。

レプリケーションポリシーの優先度レプリケーションポリシーを作成する場合、他のジョブよりも優先されるようにポリシーを構成できます。



最大数のジョブがすでに実行されているために複数のレプリケーションジョブがキューに登録されている場合、優先度がないジョブの前に優先度があるポリシーによって作成されたジョブが実行されます。たとえば、50個のジョブが現在実行されていると仮定します。優先度がないジョブが作成されて実行のキューに入れられました。次に、優先度があるジョブが作成され、実行キューに入れられました。優先度があるジョブは、優先度がないジョブが長期間キューに登録されている場合でも、次に実行されます。SyncIQ も優先度がないレプリケーションジョブを一時停止し、優先度があるジョブが実行されるようにします。たとえば、50個のジョブがすでに実行されていて、そのうちの 1 つに優先度がないものとします。優先度があるレプリケーションジョブが作成されると、SyncIQは優先度がないレプリケーションジョブを一時停止し、優先度があるジョブを実行します。

SyncIQ ライセンスの機能データの別の Isilon クラスターへのレプリケーションは、ローカルクラスターとターゲットクラスターの両方で SyncIQ がアクティブ化されている場合のみ実行できます。SyncIQ ライセンスが非アクティブな場合、レプリケーションポリシーを作成、実行、管理することはできません。また、以前に作成したすべてのレプリケーションポリシーは無効化されます。ローカルクラスターをターゲットとするレプリケーションポリシーも、無効化されます。ただし、以前にローカルクラスターにレプリケートしたデータは引き続き使用できます。

レプリケーションポリシーの作成どのような場合にデータを SyncIQ にレプリケートするかを決定するレプリケーションポリシーを作成できます。

レプリケーションからのディレクトリの除外指定したソースディレクトリにあるディレクトリをレプリケーションポリシーによるレプリケーションから除外できます。

フェイルバックは、ディレクトリを除外するレプリケーションポリシーではサポートされません。

デフォルトでは、レプリケーションポリシーのソースディレクトリにあるすべてのファイルとディレクトリがターゲットクラスターにレプリケートされますが、ソースディレクトリ内のディレクトリをレプリケートしないようにすることもできます。除外するディレクトリを指定すると、除外されたディレクトリ内のファイルおよびディレクトリはターゲットクラスターにレプリケートされません。包含するディレクトリを指定した場合、包含するディレクトリ内のファイルおよびディレクトリのみがターゲットクラスターにレプリケートされます。包含するディレクトリ内に存在しないディレクトリは除外されます。ディレクトリの包含と除外の両方を指定する場合、除外するディレクトリは包含するディレクトリのいずれかに存在する必要があります。そうでなければ、除外するディレクトリの設定は無効です。たとえば、次の設定のポリシーについて考えてみます。l ルートディレクトリは/ifs/datal 含まれるディレクトリは/ifs/data/media/music と/ifs/data/media/moviesl 除外されるディレクトリは/ifs/data/archive と/ifs/data/media/music/

working


SyncIQ ライセンスの機能 663

この例では、/ifs/data/archive ディレクトリは包含するディレクトリのいずれにも含まれていないため、/ifs/data/archive ディレクトリを除外する設定は無効です。ディレクトリを明示的に除外するかどうかに関係なく、/ifs/data/archive ディレクトリはレプリケートされません。一方、/ifs/data/media/music/working ディレクトリを除外する設定は、この設定を指定しなくてもレプリケートされるため、有効です。また、ソースディレクトリを含むディレクトリを除外した場合、除外ディレクトリ設定は無効です。たとえば、ポリシーのルートディレクトリが/ifs/data の場合、/ifs ディレクトリを明示的に除外しても/ifs/dataはレプリケーションから除外されません。明示的に包含または除外するすべてのディレクトリは、指定されたルートディレクトリ以下に存在する必要があります。たとえば、指定されたルートディレクトリが/ifs/data であるポリシーについて考えます。この例では、/ifs/data/media ディレクトリと/ifs/data/users/ディレクトリは/ifs/data にあるため、この両方のディレクトリを含めることができます。ディレクトリを同期化ポリシーから除外しても、そのディレクトリはターゲットクラスターから削除されません。たとえば、ソースクラスターの/ifs/data をターゲットクラスターの/ifs/data に同期するレプリケーションポリシーを考えてみます。このポリシーで/ifs/data/media をレプリケーションから除外し、ターゲットクラスターに/ifs/data/media/file が存在する場合、このポリシーを実行しても/ifs/data/media/fileはターゲットクラスターから削除されません。

レプリケーションでのファイルの除外レプリケーションポリシーにより特定のファイルを複製したくない場合は、ファイル一致基準ステートメントを通じて、レプリケーションプロセスからそれらのファイルを除外できます。ファイル一致基準ステートメントは、レプリケーションポリシー作成プロセスで構成できます。

ファイルを除外するレプリケーションポリシーはフェイルバックできません。

ファイル基準ステートメントには 1 つ以上のエレメントを含めることができます。それぞれのファイル基準エレメントは、ファイル属性、比較演算子、比較値を含みます。複数の基準エレメントを 1 つの基準ステートメントに結合するには、ブール演算子の「AND」と「OR」を使用します。ファイル基準定義はいくつでも構成できます。ファイル基準ステートメントを構成すると、関連するジョブの実行速度が低下することがあります。必要な場合にのみレプリケーションポリシーにファイル基準ステートメントを指定することを推奨します。ファイル基準ステートメントを変更すると、次回のレプリケーションポリシーの開始時に完全なレプリケーションが実行されます。複製するデータの量によっては、完全なレプリケーションが完了するまでに長時間かかることがあります。同期ポリシーのため、ファイル属性の比較演算子や比較値を変更した際に、ファイルが指定されたファイル一致基準に一致しなくなった場合は、次回のジョブの実行時にファイルがターゲットから削除されます。このルールはコピーポリシーには適用されません。

ファイル条件オプション特定の条件を満たしているファイルまたは満たしていないファイルを除外するレプリケーションポリシーを構成できます。ファイル条件は、次のファイル属性に基づいて指定できます。Date created

ファイルが作成された時期に基づいてファイルを包含または除外する。このオプションはコピーポリシーのみで使用できます。



「two weeks ago」のような相対的な日時、または「January 1, 2012」のような特定の日時を指定できます。時刻の設定は 24時間制です。

Date accessed

ファイルが最後にアクセスされた時期に基づいてファイルを包含または除外する。このオプションは、コピーポリシー専用であり、クラスターのグローバルなアクセス時間トラッキングオプションが有効になっている場合にのみ使用できます。「two weeks ago」のような相対的な日時、または「January 1, 2012」のような特定の日時を指定できます。時刻の設定は 24時間制です。

Date modified

ファイルが最後に変更された時期に基づいてファイルを包含または除外する。このオプションはコピーポリシーのみで使用できます。「two weeks ago」のような相対的な日時、または「January 1, 2012」のような特定の日時を指定できます。時刻の設定は 24時間制です。

File name

ファイル名に基づいてファイルを包含または除外する。特定のテキストを含む名前の全部または一部に基づいて包含または除外を指定できます。次のワイルドカード文字を使用できます。

または、POSIX正規表現（regex）テキストを使用してファイル名をフィルターすることもできます。Isilon クラスターは、IEEE Std 1003.2（POSIX.2）の正規表現をサポートします。POSIX正規表現の詳細については、BSD マニュアルページを参照してください。

表 2 レプリケーションファイルマッチングのワイルドカード

ワイルドカード文字説明

* アスタリスクの部分は任意の文字列と一致します。たとえば、m*の場合、movies も m123 も一致します。

[ ] 角括弧に含まれるすべての文字、またはダッシュで区切られた文字の範囲と一致します。たとえば、b[aei]t の場合、bat、bet、bitが一致します。

たとえば、1[4-7]2 の場合、142、152、162、172 が一致します。最初の角括弧の後に感嘆符を付けると、角括弧内の文字を除外することができます。

たとえば、b[!ie]の場合、batは一致しますが、bitや betは一致しません。角括弧内の最初または最後の文字が角括弧の場合は、角括弧内のその角括弧と一致します。

たとえば、[[c]at の場合、cat と[at が一致します。


ファイル条件オプション 665

表 2 レプリケーションファイルマッチングのワイルドカード（続き）

ワイルドカード文字説明

角括弧内の最初または最後の文字がダッシュの場合は、角括弧内のダッシュと一致します。

たとえば、car[-s]の場合、cars と car-が一致します。

? 疑問符の部分は任意の文字と一致します。たとえば、 t?p の場合、tap、 tip、topはいずれも一致します。

Path

ファイルパスに基づいてファイルを包含または除外する。このオプションはコピーポリシーのみで使用できます。指定したテキストを含むパスの全部または一部に基づいて包含または除外を指定できます。ワイルドカード文字の*、?、[ ]を使用することもできます。

サイズファイルサイズに基づいてファイルを包含または除外する。

ファイルサイズは 1,000 ではなく、1,024 の倍数で表されます。

タイプ次のファイルシステムオブジェクトタイプのいずれかに基づいてファイルを包含または除外する。

l ソフトリンク

l 通常のファイル

l ディレクトリ

デフォルトレプリケーションポリシー設定の構成レプリケーションポリシーのデフォルト設定を構成できます。レプリケーションポリシーを作成する際にこれらの設定を変更しない場合は、指定されたデフォルト設定が適用されます。手順

1. isi sync settings modify コマンドを実行します。次のコマンドを実行すると、2年前より古いレプリケーションレポートを削除するようにSyncIQ が構成されます。

isi sync settings modify --report-max-age 2Y



レプリケーションポリシーの作成SyncIQ で、データを別の Isilon クラスタにレプリケートする方法と日時を定義するレプリケーションポリシーを作成できます。レプリケーションポリシーは、ターゲットクラスタ、ソースディレクトリ、ターゲットディレクトリ、およびレプリケーション中に除外するディレクトリとファイルを指定するものです。

SyncIQ レプリケーションポリシーでは、OneFS を使用して、別のレプリケーションポリシーから、ターゲットディレクトリとなるソースディレクトリ、またはターゲットディレクトリ内に含まれるソースディレクトリを指定することができます。カスケードレプリケーションといいますが、このユースケースは特にバックアップを目的としたものであるため、慎重に構成する必要があります。OneFSでは、このような場合にフェイルバックは許可されません。

あるポリシーの実行後に次のポリシー設定のいずれかを変更すると、次回のポリシー実行時に完全レプリケーションまたは差分レプリケーションが実行されます。l ソースディレクトリl 包含または除外されるディレクトリl ファイル基準ステートメントl ターゲットクラスタの名前またはアドレス

これは、レプリケーションポリシーを変更して別のターゲットクラスタを指定する場合にのみ適用されます。ターゲットクラスタの IP またはドメイン名を変更した後、新しい IP またはドメイン名に合わせてソースクラスタでレプリケーションポリシーを変更した場合、フルレプリケーションは実行されません。SyncIQ では、動的に割り当てられた IP アドレスプールはサポートされませんので注意してください。レプリケーションジョブが動的に割り当てられた IP アドレスに接続する場合、レプリケーションジョブの実行中に SmartConnect がアドレスを再割り当てする可能性があります。その場合、ジョブが失敗します。

l ターゲットディレクトリ

SmartLock コンプライアンスディレクトリのレプリケーションポリシーを作成する場合、SyncIQコンプライアンスドメインと SmartLock コンプライアンスドメインの root ディレクトリレベルを同一にして構成する必要があります。SmartLock コンプライアンスディレクトリは、SyncIQ ディレクトリ内にネストすることはできません。

手順1. isi sync policies create コマンドを実行します。次のコマンドを実行すると、ソースクラスタ上のディレクトリ/ifs/data/source をターゲットクラスタ 10.1.99.36上の/ifs/data/target に毎週レプリケートするポリシーが作成されます。コマンドでは、ターゲットクラスタ上にアーカイブスナップショットも作成されます。

isi sync policies create mypolicy sync /ifs/data/source 10.1.99.36 /ifs/data/target --schedule "Every Sunday at 12:00 AM" --target-snapshot-archive on --target-snapshot-expiration 1Y--target-snapshot-pattern "%{PolicyName}-%{SrcCluster}-%Y-%m-%d


レプリケーションポリシーの作成 667

SyncIQ ドメインの作成SyncIQ ドメインを作成して、レプリケーションポリシーのフェイルバックの実行速度を高速化できます。フェイルバックできるのは同期ポリシーだけなので、コピーポリシーの場合は SyncIQ ドメインを作成する必要はありません。レプリケーションポリシーのフェイルバックでは、ソースディレクトリの SyncIQ ドメインを作成する必要があります。 SyncIQ ドメインはフェイルバックプロセス中に自動的に作成されます。ただし、レプリケーションポリシーをフェイルバックする場合は、レプリケーションポリシーのソースディレクトリが空の状態で SyncIQ ドメインを作成することをお勧めします。含まれるデータが少ないディレクトリのドメイン作成は少ない時間で済みます。手順

1. isi job jobs start コマンドを実行します。次のコマンドを実行すると、/ifs/data/source の SyncIQ ドメインが作成されます。

isi job jobs start domainmark --root /ifs/data/media \--dm-type SyncIQ

レプリケーションポリシーの評価レプリケーションポリシーの初回実行前に、レプリケーションの影響を受けるであろうファイルの統計情報を、ファイルを転送することなく確認できます。これは、ポリシーを実行すると転送されるデータセットのサイズを事前に確認する必要がある場合に便利です。評価できるのは、これまで実行されたことのないレプリケーションポリシーのみです。手順

1. --test を指定して isi sync jobs start コマンドを実行します。次のコマンドを実行すると、weeklySync の実行時に転送されるデータ量に関するレポートが作成されます。

isi sync jobs start weeklySync --test

2. 評価レポートを表示するには、isi sync reports view コマンドを実行します。次のコマンドを実行すると、weeklySync に関する評価レポートが表示されます。

isi sync reports view weeklySync 1

リモートクラスターへのレプリケーションの管理他のクラスターをターゲットとするレプリケーションジョブは手動で実行、表示、評価、一時停止、再開、キャンセル、解決、リセットできます。ポリシージョブが開始した後、ジョブを一時停止してレプリケーションアクティビティを中断できます。その後ジョブを再開して、ジョブが中断した場所からレプリケーションを続行できます。ジョブに割り当てられたクラスターリソースを解放する必要がある場合は、実行中や一時停止中のレプリケーションジョブをキャンセルすることもできます。一時停止中のジョブでは、リソースが使用中であるかどうかにかかわらず、クラスターリソースが保持されます。キャンセルしたジョブではクラスターリソースが解放され、別のレプリケーションジョブがそれらのリソースを使用できます。クラスターで同時に実行または一時停止できるレプリケーションジョブは 5個までです。ただし、クラスターでキャンセルできるレプリケー



ションジョブの数は無制限です。レプリケーションジョブが一時停止されたまま 1週間を超えると、SyncIQ によってジョブが自動的にキャンセルされます。

レプリケーションジョブの開始レプリケーションポリシーに対応するレプリケーションジョブをいつでも手動で開始できます。SnapshotIQ ツールで作成されたスナップショットに従ってデータをレプリケートすることもできます。SyncIQ ツールで生成されたスナップショットに従ってデータをレプリケートすることはできません。手順

1. isi sync jobs start コマンドを実行します。次のコマンドを実行すると、weeklySync が開始します。

isi sync jobs start weeklySync

次のコマンドを実行すると、weeklySync のソースディレクトリがスナップショットHourlyBackup_07-15-2013_23:00 に従ってレプリケートされます。

isi sync jobs start weeklySync \--source-snapshot HourlyBackup_07-15-2013_23:00

レプリケーションジョブの一時停止実行中のレプリケーションジョブを一時停止し、後からジョブを再開することができます。レプリケーションジョブを一時停止すると、一時的にデータのレプリケーションが停止しますが、データのレプリケーションを実行しているクラスターリソースは解放されません。手順

1. isi sync jobs pause コマンドを実行します。次のコマンドを実行すると、weeklySync が一時停止します。

isi sync jobs pause weeklySync

レプリケーションジョブの再開一時停止したレプリケーションジョブを再開することができます。手順

1. isi sync jobs resume コマンドを実行します。次のコマンドを実行すると、weeklySync が再開します。

isi sync jobs resume weeklySync

レプリケーションジョブのキャンセル実行中または一時停止したレプリケーションジョブをキャンセルすることができます。レプリケーションジョブをキャンセルすると、データのレプリケーションが停止し、データのレプリケーションを実行していたクラスターリソースが解放されます。キャンセルしたレプリケーションジョブは再開できません。レプリケーションを再開するには、レプリケーションポリシーを再度開始する必要があります。


レプリケーションジョブの開始 669

手順1. isi sync jobs cancel コマンドを実行します。次のコマンドを実行すると、weeklySync がキャンセルされます。

isi sync jobs cancel weeklySync

アクティブなレプリケーションジョブの表示現在実行中または一時停止中のレプリケーションジョブに関する情報を表示できます。手順

1. 次のコマンドを実行して、すべてのアクティブなレプリケーションジョブを表示します。

isi sync jobs list

2. 特定のレプリケーションジョブに関する詳細情報を表示するには、isi sync jobsview コマンドを実行します。次のコマンドを実行すると、weeklySync によって作成されたレプリケーションジョブに関する詳細情報が表示されます。

isi sync jobs view weeklySync


Policy Name: weeklySync ID: 3 State: running Action: run Duration: 5s Start Time: 2013-07-16T23:12:00

レプリケーションジョブの情報レプリケーションジョブに関する情報を表示できます。

次の情報が isi snapshot settings view コマンドの出力に表示されます。Policy Name

関連づけられたレプリケーションポリシーの名前。

ID

レプリケーションジョブの ID。

State

ジョブのステータス。

Action

レプリケーションポリシーのタイプ。

SyncIQ を使用したデータフェールオーバーおよびフェールバックの開始

プライマリクラスタが使用不可になった場合などには、Isilon クラスタ間でフェールオーバーすることができます。プライマリクラスタが使用可能な状態に戻った時点で、フェールバックします。フェールオー



バーは不要であったと判断した場合、またはテスト目的でフェールオーバーした場合には、フェールオーバーを元に戻して復元できます。

データのフェールオーバーとフェールバックは、コンプライアンス SmartLock ディレクトリとエンタープライズ SmartLock ディレクトリの両方をサポートするようになりました。コンプライアンス SmartLock ディレクトリは、初期構成中にコンプライアンスモードクラスタとして設定されたクラスタ上にのみ作成することができます。

セカンダリクラスタへのデータフェールオーバーたとえばプライマリクラスタが使用不可になった場合、セカンダリ Isilon クラスタにフェールオーバーすることができます。はじめにプライマリクラスタ上で、レプリケーションポリシーを作成し、正常に実行している必要があります。この処理によって、データがセカンダリクラスタにレプリケートされています。

データのフェールオーバーは、コンプライアンス SmartLock ディレクトリとエンタープライズ SmartLockディレクトリの両方に対してサポートされています。SmartLock コンプライアンスディレクトリでは、独自のレプリケーションポリシーが必要となります。このようなディレクトリを、非コンプライアンスディレクトリ内にネストして、全体的なポリシーの一部としてレプリケートすることはできません。

フェールオーバー対象のレプリケーションポリシーごとに以下の手順を実行します。

手順1. プライマリクラスタがオンラインのままの場合は、次の手順を実行します。

a. これにより、セカンダリクラスタへのフェールオーバーの準備のようには、新しいデータがポリシーのパスに書き込まれなくなります。これにより、セカンダリクラスタへのフェールオーバーの準備どおりには、新しいデータがポリシーのパスに書き込まれなくなります。

b. 手動でのみ実行されるように、レプリケーションポリシーの設定を変更します。

これにより、プライマリクラスタ上のポリシーが、レプリケーションジョブを自動的に実行することはなくなります。ターゲットディレクトリへの書き込みが許可されているときにプライマリクラスタ上のポリシーがレプリケーションジョブを実行すると、ジョブは失敗して、レプリケーションポリシーは非アクティブ化されます。この状況が発生した場合は、手動でのみ実行するようにポリシーの設定を変更し、ポリシーを解決して、フェールバック処理を完了します。フェールバック処理が完了した後で、ポリシーがスケジュールに従って実行されるように再度設定を変更します。

次のコマンドによって、ポリシー weeklySync が手動でのみ実行されるようになります。

isi sync policies modify weeklySync --schedule ""

2. セカンダリクラスタ上で、isi sync recovery allow-write コマンドを実行します。


セカンダリクラスタへのデータフェールオーバー 671

次のコマンドを実行することで、weeklySync ポリシーで指定されたレプリケート後のディレクトリやファイルが書き込み可能になります。

isi sync recovery allow-write weeklySync

SmartLock コンプライアンスモードのWORM ファイルは、レプリケートされていても、書き込み不能かつ消去不能な形式で格納されます。

3. データアクセスおよび通常の運用をセカンダリクラスタで行うよう、ユーザーに指示します。

フェイルオーバー動作の復元フィルオーバーを復元すると、セカンダリクラスターでのフェイルオーバー動作が取り消され、プライマリクラスターからセカンダリクラスターへのデータにデータを再びレプリケートできるようになります。フェイルオーバー復元は、セカンダリクラスターでデータが変更される前にプライマリクラスターが使用可能になった場合や、テストの目的でセカンダリクラスターにフェイルオーバーした場合に役立ちます。

はじめにレプリケーションポリシーをフェイルオーバーします。

更新されたデータはフェイルオーバー動作を復元してもプライマリクラスターに移行されません。セカンダリクラスターでクライアントが変更したデータを移行するには、プライマリクラスターにフェイルバックする必要があります。

SmartLock ディレクトリではフェイルオーバー復元はサポートされていません。

フェイルオーバー対象のレプリケーションポリシーごとに以下の手順を実行します。手順

1. --revert を指定して isi sync recovery allow-write コマンドを実行します。たとえば、次のコマンドは、newPolicy のフェイルオーバー動作を復元します。

isi sync recovery allow-write newPolicy --revert

プライマリクラスタへのデータフェールバックセカンダリクラスタにフェールオーバーした後、プライマリクラスタにフェールバックできます。

はじめにプライマリクラスタにフェールバックする前に、セカンダリクラスタへのフェールオーバーが完了している必要があります。また、プライマリクラスタがオンラインに戻るようにする必要があります。手順

1. プライマリクラスタで isi sync recovery resync-prep コマンドを実行して、セカンダリクラスタにミラーポリシーを作成します。次のコマンドを実行すると、weeklySync のミラーポリシーが作成されます。

isi sync recovery resync-prep weeklySync



SyncIQは、次のパターンに従ってミラーポリシーの名前を付けます。

<replication-policy-name>_mirror

2. フェールバックプロセスを開始する前に、クライアントがセカンダリクラスタにアクセスしないようにしてください。この操作により、SyncIQ が最新のデータセットにフェールバックします。このデータセットには、プライマリクラスタが利用不可の間にユーザーがセカンダリクラスタ上のデータに対して行ったすべての変更が含まれます。クライアントが非アクティブになるまで待機してから、セカンダリクラスタへのアクセスを防止することをお勧めします。

3. セカンダリクラスタで、isi sync jobs start コマンドを実行し、ミラーポリシーを実行してプライマリクラスタにデータをレプリケートします。

次のコマンドを実行すると、weeklySync_mirror という名前のミラーポリシーが即座に実行されます。

isi sync jobs start weeklySync_mirror

逆に、特定のスケジュールで実行するようにミラーポリシーを変更することができます。次のコマンドでは、weeklySync_mirror という名前のミラーポリシーが毎日午前 12時 01分に実行されるようにスケジュールします。

isi sync modify weeklySync_mirror --enabled yes --schedule "every day at 12:01 AM"

ミラーポリシーのスケジュールを指定する場合、スケジュールされた時刻にミラーポリシーを 1回実行するように許可するだけで指定できます。その後、ミラーポリシーの設定を手動のスケジュールに戻す必要があります。

4. プライマリクラスタで、isi sync recovery allow-write コマンドを実行してミラーポリシーのターゲットディレクトリへの書き込みを許可します。

次のコマンドでは、weeklySync_mirror ポリシーで指定したディレクトリへの書き込みを許可します。

isi sync recovery allow-write weeklySync_mirror

5. セカンダリクラスタで、ミラーポリシーに対して isi sync recovery resync-prepコマンドを実行して、フェールバックプロセスを完了します。

次のコマンドでは、セカンダリクラスタを読み取り専用モードに戻し、データセットがプライマリおよびセカンダリの両方のクラスタで一致していることを確認することで、weeklySync_mirror のフェールバックプロセスを完了します。

isi sync recovery resync-prep weeklySync_mirror

必要条件クライアントにはプライマリクラスタに戻って通常の運用を行うように指示します。必須ではありませんが、フェイルバックが正常に完了した後にミラーポリシーを削除するのが安全です。


プライマリクラスタへのデータフェールバック 673

古い SmartLock ディレクトリのディザスタリカバリの実行OneFS 7.2.1以前を実行しているセカンダリクラスタに SmartLock コンプライアンスディレクトリをレプリケートした場合、OneFS 8.0.1 を実行しているプライマリクラスタに SmartLock コンプライアンスディレクトリをフェールバックすることはできません。ただし、セカンダリクラスタに格納されているSmartLock コンプライアンスディレクトリをリカバリして、プライマリクラスタに戻すことはできます。

SmartLock エンタープライズディレクトリのデータの、旧バージョンの OneFS を使用したフェールオーバーとフェールバックがサポートされています。

ターゲットクラスタでの SmartLock コンプライアンスディレクトリのリカバリOneFS 7.2.1以前のバージョンが動作しているセカンダリクラスタにレプリケートしたコンプライアンスSmartLock ディレクトリのリカバリが可能です。

リカバリする各 SmartLock ディレクトリに対して次の処理手順を実行します。

手順1. セカンダリクラスタで、リカバリ対象の SmartLock ディレクトリへの書き込みを有効化します。l 最後のレプリケーションジョブが正常に完了し、レプリケーションジョブが現在実行されていない場合は、セカンダリクラスタで isi sync recovery allow-write コマンドを実行する。たとえば、次のコマンドを実行すると、SmartLockSync のターゲットディレクトリへの書き込みが可能になります。

isi sync recovery allow-write SmartLockSync

l レプリケーションジョブが現在実行中の場合は、レプリケーションジョブの完了を待ってから、isi sync recovery allow-write コマンドを実行する。

l レプリケーションジョブの実行中にプライマリクラスタが使用不可になった場合は、isisync target break コマンドを実行する。プライマリクラスタが完全にオフラインになっている場合は、必要なのは関連づけを解除することだけですので注意してください。たとえば、次のコマンドを実行すると、SmartLockSync のターゲットディレクトリの関連づけが解除されます。

isi sync target break SmartLockSync

2. isi sync target break を実行した場合は、不整合状態のままのファイルをリストアします。a. WORM状態にコミットしないすべてのファイルをターゲットディレクトリから削除します。b. すべてのファイルをフェールオーバースナップショットからターゲットディレクトリにコピーします。フェールオーバースナップショットには次の命名パターンに従って名前が付けられます。

SIQ-Failover-［<policy-name>］-［<year>］-［<month>］-［<day>］_［<hour>］-［<minute>］-［<second>］



スナップショットは隠し/ifs/.snapshot ディレクトリの下にあります。3. SmartLock ディレクトリの構成設定（自動コミット期間など）をレプリケーションポリシーのソ

ースディレクトリに指定した場合は、その設定をターゲットディレクトリに適用します。

自動コミットの情報はターゲットクラスタに転送されないため、ソースクラスタでWORM状態にコミットされるようにスケジュール設定されていたファイルは、ターゲットクラスタでは同時にコミットされるようにスケジュール設定されていません。すべてのファイルが適切な期間保持されるように、ターゲット SmartLock ディレクトリのすべてのファイルをWORM状態にコミットすることができます。たとえば、次のコマンドは、1分後に/ifs/data/smartlock のすべてのファイルをWORM状態に自動的にコミットします。

isi worm domains modify --domain /ifs/data/smartlock--autocommit-offset 1m

SmartLock コンプライアンスディレクトリの移行オリジナルソースクラスタまたは新しいクラスタにディレクトリをレプリケートすることにより、SmartLockコンプライアンスディレクトリをリカバリクラスタから移行することができます。移行が必要なのは、リカバリクラスタが OneFS 7.2.1以前で実行されている場合のみです。これらのバージョンの OneFS では、SmartLock コンプライアンスディレクトリのフェールオーバーおよびフェールバックはサポートされていません。手順

1. リカバリクラスタでは、別のクラスタ（オリジナルのプライマリクラスタまたは新しいクラスタ）に移行する各 SmartLock コンプライアンスディレクトリに、レプリケーションポリシーを作成します。ポリシーは次の要件を満たしている必要があります。l リカバリクラスタ上のソースディレクトリが、移行する SmartLock コンプライアンスディレクトリであること。

l ターゲットディレクトリは、データ移行先のクラスタ上にある空の SmartLock コンプライアンスディレクトリであること。ソースディレクトリとターゲットディレクトリがともに、SmartLock コンプライアンスディレクトリである必要があります。

2. 作成したポリシーを実行して、ターゲットディレクトリにリカバリデータをレプリケートします。

データをレプリケートするには、手動でポリシーを開始する方法とポリシーのスケジュールを指定する方法があります。

3. (オプション) すべてのファイルに SmartLock の保護が適用されるように、SmartLock ターゲットディレクトリのすべての移行ファイルをWORM状態にコミットします。

自動コミット情報はリカバリクラスタから転送されないため、ターゲット SmartLock ディレクトリ内のすべての移行ファイルをWORM状態にコミットします。

たとえば、次のコマンドを使用すると、/ifs/data/smartlock のすべてのファイルが 1分後にWORM状態に自動でコミットされます。

isi worm domains modify --domain /ifs/data/smartlock \--autocommit-offset 1m

このステップは、SmartLock ディレクトリの自動コミット時間が設定されていない場合にのみ必要です。


SmartLock コンプライアンスディレクトリの移行 675

4. ターゲットクラスタで、isi sync recovery allow-writes コマンドを実行してレプリケーションのターゲットディレクトリへの書き込みを有効化します。

たとえば、次のコマンドを実行すると、SmartLockSync のターゲットディレクトリへの書き込みが可能になります。

isi sync recovery allow-writes SmartLockSync

5. SmartLock ディレクトリの構成設定（自動コミット期間など）をレプリケーションポリシーのソースディレクトリに指定した場合、その設定をターゲットディレクトリに適用します。

6. リカバリクラスタの SmartLock データのコピーを削除します。

すべてのファイルがWORM状態から解放されるまで、ソース SmartLock ディレクトリによって消費されているスペースは回復されません。ファイルがWORM状態から解放される前にスペースを解放する場合は、リカバリクラスタの再フォーマットについて Isilon テクニカルサポートにお問い合わせください。

レプリケーションポリシーの管理レプリケーションポリシーを変更、表示、有効化、無効化することができます。

レプリケーションポリシーの変更レプリケーションポリシーの設定を変更できます。

ポリシー実行後に次のいずれかのポリシー設定を変更した場合、次回のポリシー実行時に OneFSでフルレプリケーションまたは差分レプリケーションが実行されます。l ソースディレクトリl 包含または除外されるディレクトリl ファイル基準ステートメントl ターゲットクラスター

別のクラスターをターゲットとする場合のみ該当します。ターゲットクラスターの IP またはドメイン名を変更した後、新しい IP またはドメイン名に合わせてソースクラスターでレプリケーションポリシーを変更した場合、フルレプリケーションは実行されません。

l ターゲットディレクトリ

手順1. isi sync policies modify コマンドを実行します。

weeklySync がリセットされ、リセット後に実行されていない場合、次のコマンドを実行すると、次回の weeklySync の実行時に差分レプリケーションが実行されます。

isi sync policies modify weeklySync \--target-compare-initial-sync on

レプリケーションポリシーの削除レプリケーションポリシーを削除することができます。ポリシーを削除すると、SyncIQ でそのポリシーに対応するレプリケーションジョブは生成されなくなります。レプリケーションポリシーを削除すると、タ



ーゲットクラスター上のターゲットの関連づけが解除され、ターゲットディレクトリへの書き込みが許可されます。レプリケーションポリシーによるレプリケーションジョブの作成を一時的に停止したい場合は、ポリシーを無効化し、後からポリシーを再び有効化することができます。手順

1. isi sync policies delete コマンドを実行します。次のコマンドを実行すると、ソースクラスターから weeklySync が削除され、ターゲットクラスター上のターゲットの関連づけが解除されます。

isi sync policies delete weeklySync

操作は SyncIQ がターゲットクラスターと通信できるまで成功しません。それまでは、ポリシーは isi sync policies list コマンドの出力に表示されます。ソースクラスターとターゲットクラスター間の接続が再確立された後、SyncIQは次にジョブの実行がスケジュール設定されたときにポリシーを削除します。ポリシーが手動でのみ実行するように構成されている場合は、ポリシーを再度手動で実行する必要があります。 SyncIQ がターゲットクラスターと永続的に通信できない場合は、isi sync policies delete コマンドを--local-only オプションとともに実行します。これにより、ポリシーはローカルクラスターからのみ削除され、ターゲットクラスター上のターゲットの関連づけは解除されません。

レプリケーションポリシーの有効化または無効化レプリケーションポリシーによるレプリケーションジョブの作成を一時的に停止し、後から再び有効化することができます。

レプリケーションポリシーを無効にした時点で、関連づけられたレプリケーションジョブが実行中であった場合、実行中のレプリケーションジョブは中断されません。ただし、ポリシーを有効化するまでポリシーによって新たなジョブが作成されることはありません。

手順1. isi sync policies enable または isi sync policies disable コマンドを実行します。次のコマンドを実行すると、weeklySync が有効化されます。

isi sync policies enable weeklySync

次のコマンドを実行すると、weeklySync が無効化されます。

isi sync policies disable weeklySync

レプリケーションポリシーの表示レプリケーションポリシーに関する情報を表示できます。


レプリケーションポリシーの有効化または無効化 677

手順1. 次のコマンドを実行して、すべてのレプリケーションポリシーに関する情報を表示します。

isi sync policies list

2. (オプション) 特定のレプリケーションポリシーに関する詳細な情報を表示するには、isisync policies view コマンドを実行します。次のコマンドを実行すると、weeklySync に関する詳細な情報が表示されます。

isi sync policies view weeklySync


ID： dd16d277ff995a78e9affbba6f6e2919 Name: weeklySync Path: /ifs/data/archive Action: sync Enabled: No Target: localhost Description: Check Integrity: Yes Source Include Directories: - Source Exclude Directories: - Source Subnet: - Source Pool: - Source Match Criteria: Target Path: /ifs/data/sometarget Target Snapshot Archive: No Target Snapshot Pattern: SIQ-%{SrcCluster}-%{PolicyName}-%Y-%m-%d_%H-%M-%S Target Snapshot Expiration: Never Target Snapshot Alias: SIQ-%{SrcCluster}-%{PolicyName}-latest Target Detect Modifications: Yes Source Snapshot Archive: No Source Snapshot Pattern: Source Snapshot Expiration: Never Schedule: Manually scheduled Log Level: notice Log Removed Files: No Workers Per Node: 3 Report Max Age: 2Y Report Max Count: 2000 Force Interface: No Restrict Target Network: No Target Compare Initial Sync: No Disable Stf: No Disable Fofb: No Resolve: - Last Job State: finished Last Started: 2013-07-17T15:39:49 Last Success: 2013-07-17T15:39:49 Password Set: No Conflicted: No Has Sync State: Yes

レプリケーションポリシー情報isi sync policies list コマンドの出力を通じて、レプリケーションポリシーに関する情報を表示できます。Name

ポリシーの名前。

Path

ソースクラスター上のソースディレクトリのパス。

Action

レプリケーションポリシーのタイプ。

Enabled

ポリシーが有効か無効かを示します。

Target

ターゲットクラスターの IP アドレスまたは完全修飾ドメイン名。

ローカルクラスターへのレプリケーションの管理ローカルクラスターをターゲットとするレプリケーションジョブを中断できます。ローカルクラスターをターゲットとする、現在実行中のジョブをキャンセルしたり、ポリシーとその指定されたターゲットの間の関連づけを解除することができます。ソースクラスターとターゲットクラスターの



関連づけを解除すると、SyncIQは、次回ポリシーを実行するときにフルレプリケーションを実行します。

ローカルクラスターへのレプリケーションのキャンセルローカルクラスターをターゲットとするレプリケーションジョブをキャンセルできます。手順

1. isi sync target cancel コマンドを実行します。l ジョブをキャンセルするには、レプリケーションポリシーを指定する。たとえば、次のコマンドを実行すると、weeklySync に従って作成されたレプリケーションジョブがキャンセルされます。

isi sync target cancel weeklySync

l ローカルクラスターをターゲットとするすべてのジョブをキャンセルするには、次のコマンドを実行する。

isi sync target cancel --all

ローカルターゲットの関連づけの解除レプリケーションポリシーとローカルクラスターの間の関連づけを解除することができます。この関連づけを解除した場合、再度ポリシーを実行する前に、レプリケーションポリシーをリセットする必要があります。

レプリケーションポリシーをリセットした後、SyncIQは、次回ポリシーを実行したときに、フルレプリケーションまたは差分レプリケーションを実行します。レプリケートされるデータ量に応じて、フルまたは差分レプリケーションの完了には非常に長時間かかる場合があります。

手順1. isi sync target break コマンドを実行します。次のコマンドを実行すると、weeklySync とローカルクラスター間の関連づけが破棄されます。

isi sync target break weeklySync

ローカルクラスターをターゲットとするレプリケーションポリシーの表示現在ローカルクラスターにデータをレプリケートしているレプリケーションポリシーに関する情報を表示できます。手順

1. 次のコマンドを実行して、現在ローカルクラスターをターゲットとしているすべてのレプリケーションポリシーに関する詳細情報を表示します。

isi sync target list


ローカルクラスターへのレプリケーションのキャンセル 679

2. 特定のレプリケーションポリシーに関する詳細な情報を表示するには、isi synctarget view コマンドを実行します。次のコマンドを実行すると、weeklySync に関する詳細な情報が表示されます。

isi sync target view weeklySync


［Name］： weeklySync Source: cluster Target Path: /ifs/data/sometarget Last Job State: finished FOFB State: writes_disabled Source Cluster GUID: 000c295159ae74fcde517c1b85adc03daff9 Last Source Coordinator IP: 127.0.0.1 Legacy Policy: No Last Update: 2013-07-17T15:39:51

リモートレプリケーションポリシー情報isi sync target list コマンドの出力を通じて、現在ローカルクラスターをターゲットとしているレプリケーションポリシーに関する情報を表示できます。Name

レプリケーションポリシーの名前。

Source

ソースクラスターの名前。

Target Path

ターゲットクラスター上のターゲットディレクトリのパス。

Last Job State

ポリシーの最新のレプリケーションジョブの状態。

FOFB State

ターゲットディレクトリのフェイルオーバー/フェイルバック状態。

レプリケーションパフォーマンスルールの管理レプリケーションジョブによって生成されるネットワークトラフィックと、ファイルが送信される速度を制限するルールを作成することで、クラスターのパフォーマンスに対するレプリケーションの影響を管理することができます。

ネットワークトラフィックルールの作成レプリケーションポリシーが指定した期間に生成することを許可するネットワークトラフィックの量を制限するネットワークトラフィックルールを作成できます。手順

1. isi sync rules create コマンドを実行します。次のコマンドを実行すると、すべての平日の午前 9時から午後 5時まで、帯域幅の消費量を毎秒 100 KB に制限するネットワークトラフィックルールが作成されます。

isi sync rules create bandwidth 9:00-17:00 M-F 100



ファイル操作ルールの作成レプリケーションジョブが 1秒間に送信できるファイルの数を制限するファイル操作ルールを作成できます。手順

1. isi sync rules create コマンドを実行します。次のコマンドを実行すると、すべての平日の午前 9時から午後 5時まで、ファイル送信レートを毎秒 3 ファイルに制限するファイル操作ルールが作成されます。

isi sync rules create file_count 9:00-17:00 M-F 3

パフォーマンスルールの変更パフォーマンスルールを変更できます。手順

1. (オプション) 変更するパフォーマンスルールの ID を特定するには、次のコマンドを実行します。

isi sync rules list

2. isi sync rules modify コマンドを実行してパフォーマンスルールを変更します。

次のコマンドを実行すると、ID が bw-0 のパフォーマンスルールが土曜日と日曜日にのみ適用されます。

isi sync rules modify bw-0 --days X,S

パフォーマンスルールの削除パフォーマンスルールを削除できます。手順

1. (オプション) 変更するパフォーマンスルールの ID を特定するには、次のコマンドを実行します。

isi sync rules list

2. isi sync rules delete コマンドを実行してパフォーマンスルールを削除します。

次のコマンドを実行すると、ID が bw-0 のパフォーマンスルールが削除されます。

isi sync rules delete bw-0

パフォーマンスルールの有効化または無効化パフォーマンスルールを無効にし、ルールの適用を一時的に中止することができます。また、無効にした後でパフォーマンスルールを有効にすることもできます。


ファイル操作ルールの作成 681

手順1. (オプション) 有効化または無効化するパフォーマンスルールの ID を識別するには、次のコマンドを実行します。

isi sync rules list

2. isi sync rules modify コマンドを実行します。次のコマンドを実行すると、ID が bw-0 のパフォーマンスルールが有効化されます。

isi sync rules modify bw-0 --enabled true

次のコマンドを実行すると、ID が bw-0 のパフォーマンスルールが無効化されます。

isi sync rules modify bw-0 --enabled false

パフォーマンスルールの表示パフォーマンスルールを表示することができます。手順

1. 次のコマンドを実行して、すべてのパフォーマンスルールに関する情報を表示します。

isi sync rules list

2. (オプション) 特定のパフォーマンスルールに関する詳細情報を表示するには、isi syncrules view コマンドを実行します。次のコマンドを実行すると、ID が bw-0 のパフォーマンスルールに関する詳細情報が表示されます。

isi sync rules view --id bw-0


ID： bw-0 Enabled: Yes Type: bandwidth Limit: 100 kbps Days: Sun,Sat Schedule Begin : 09:00 End : 17:00 Description: Bandwidth rule for weekdays

レプリケーションレポートの管理レプリケーションレポートの表示に加えて、レポートをクラスターに保存する期間を構成できます。また、有効期限を過ぎたレポートを削除することもできます。

デフォルトレプリケーションレポート設定の構成SyncIQ がレプリケーションレポートを保持するデフォルトの期間を構成できます。レプリケーションポリシーごとに SyncIQ が保持するレポートの最大数も構成できます。



手順1. isi sync settings modify コマンドを実行します。次のコマンドを実行すると、2年前より古いレプリケーションレポートが OneFS によって削除されます。

isi sync settings modify --report-max-age 2Y

レプリケーションレポートの削除レプリケーションレポートは、レポートの有効期限が過ぎた後に SyncIQ によって定期的に削除されます。SyncIQ では、レポート数が指定の制限を超えた後にも削除されます。過剰なレポートはSyncIQ によって定期的に削除されますが、すべての過剰なレプリケーションレポートをいつでも手動で削除できます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. 次のコマンドを実行して、過剰なレプリケーションレポートを削除します。

isi sync reports rotate

レプリケーションレポートの表示レプリケーションレポートとサブレポートを表示できます。手順

1. 次のコマンドを実行して、すべてのレプリケーションレポートのリストを表示します。

isi sync reports list

2. isi sync reports view コマンドを実行してレプリケーションレポートを表示します。

次のコマンドを実行すると、weeklySync に関するレプリケーションレポートが表示されます。

isi sync reports view weeklySync 2

3. (オプション) レポートのサブレポートのリストを表示するには、isi sync reportssubreports list コマンドを実行します。次のコマンドを実行すると、weeklySync のサブレポートが表示されます。

isi sync reports subreports list weeklySync 1

4. (オプション) サブレポートを表示するには、isi sync reports subreportsview コマンドを実行します。次のコマンドを実行すると、weeklySync のサブレポートが表示されます。

isi sync reports subreports view weeklySync 1 2


レプリケーションレポートの削除 683


［Policy Name］： weeklySync Job ID: 1 Subreport ID: 2 Start Time: 2013-07-17T21:59:10 End Time: 2013-07-17T21:59:15 Action: run State: finished Policy ID: a358db8b248bf432c71543e0f02df64e Sync Type: initial Duration: 5s Errors: - Source Directories Visited: 0 Source Directories Deleted: 0 Target Directories Deleted: 0 Source Directories Created: 0 Target Directories Created: 0 Source Directories Linked: 0 Target Directories Linked: 0 Source Directories Unlinked: 0 Target Directories Unlinked: 0 Num Retransmitted Files: 0 Retransmitted Files: - Total Files: 0 Files New: 0 Source Files Deleted: 0 Files Changed: 0 Target Files Deleted: 0 Up To Date Files Skipped: 0 User Conflict Files Skipped: 0 Error Io Files Skipped: 0 Error Net Files Skipped: 0 Error Checksum Files Skipped: 0 Bytes Transferred: 245 Total Network Bytes: 245 Total Data Bytes: 20 File Data Bytes: 20 Sparse Data Bytes: 0 Target Snapshots: SIQ-Failover-newPol123-2013-07-17_21-59-15, newPol123-Archive-cluster-17 Total Phases: 2 Phases Phase : STF_PHASE_IDMAP_SEND Start Time : 2013-07-17T21:59:11 End Time : 2013-07-17T21:59:13

レプリケーションレポート情報［Reports］テーブルを通じて、レプリケーションジョブに関する情報を参照できます。

Policy Name

ジョブに関連づけられたポリシーの名前。ポリシー名をクリックすることにより、ポリシーの設定を表示または編集できます。

Status

ジョブのステータスが表示されます。次のジョブステータスがあります。Running

ジョブがエラーなしで現在実行しています。

Paused

ジョブが一時的に停止されています。

Finished

ジョブは正常に完了しました。

Failed

ジョブが異常終了しました。

Started

ジョブを開始した時刻を示します。

Ended

ジョブを終了した時刻を示します。

Duration

ジョブの完了に要した時間の長さを示します。

Transferred

ジョブの実行中に転送されたファイルの総数と、転送されたすべてのファイルの合計サイズ。評価済みポリシーについては、Assessment が表示されます。



Source Directory

ソースクラスター上のソースディレクトリのパス。

Target Host

ターゲットクラスターの IP アドレスまたは完全修飾ドメイン名。

Action

実行可能なレポート関連のアクションが表示されます。

失敗したレプリケーションジョブの管理レプリケーションジョブがエラーで失敗した場合、SyncIQ により対応するレプリケーションポリシーが無効にされることがあります。たとえば、ターゲットクラスターの IP またはホスト名が変更された場合、SyncIQはレプリケーションポリシーを無効にする可能性があります。レプリケーションポリシーが無効になると、ポリシーは実行できません。無効にされたポリシーに対してレプリケーションを再開するには、ポリシーが無効にされる原因となったエラーを修正するか、レプリケーションポリシーをリセットする必要があります。ポリシーをリセットするのではなく、問題の修正を試みることをお勧めします。エラーを修正し終えたと考えられる場合は、ポリシーを解決することにより、レプリケーションポリシーを有効状態に戻すことができます。その後ポリシーを再度実行して、問題が修正されたかどうかをテストすることができます。問題を修正できない場合は、レプリケーションポリシーをリセットできます。ただし、ポリシーをリセットすると、次回ポリシーを実行したときにフルレプリケーションまたは差分レプリケーションが実行されます。

同期またはコピーされるデータの量によっては、フルレプリケーションまたは差分レプリケーションの完了までに非常に長い時間がかかる可能性があります。

レプリケーションポリシーの解決レプリケーションエラーが原因で SyncIQ によりレプリケーションポリシーが無効にされ、エラーの原因となった問題を修正した場合、レプリケーションポリシーを解決できます。レプリケーションポリシーを解決すると、再度ポリシーを実行できるようになります。エラーの原因となった問題を解決できない場合は、レプリケーションポリシーをリセットすることができます。手順

1. isi sync policies resolve コマンドを実行します。次のコマンドを実行すると、weeklySync が解決されます。

isi sync policies resolve weeklySync

レプリケーションポリシーのリセットレプリケーションジョブで解決できないエラーが発生した場合、対応するレプリケーションポリシーをリセットすることができます。ポリシーをリセットすると、次回ポリシーを実行したときに、OneFS によりフルレプリケーションまたは差分レプリケーションが実行されます。

レプリケーションポリシーをリセットすると、ソースクラスタースナップショットが削除されます。


失敗したレプリケーションジョブの管理 685

レプリケートされるデータ量に応じて、フルまたは差分レプリケーションの完了には非常に長時間かかる場合があります。レプリケーションエラーの原因となった問題を修正できない場合のみレプリケーションポリシーをリセットしてください。エラーの原因となった問題を修正する場合は、ポリシーをリセットするのではなく、ポリシーを解決してください。

手順1. isi sync policies reset コマンドを実行します。次のコマンドを実行すると、weeklySync がリセットされます。

isi sync policies reset weeklySync

フルレプリケーションまたは差分レプリケーションの実行レプリケーションポリシーをリセットした後は、フルレプリケーションまたは差分レプリケーションを実行する必要があります。この操作は CLI からのみ実行できます。

はじめにレプリケーションポリシーをリセットします。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、root またはコンプライアンス管理者アカウントでログインします。

2. isi sync policies modify コマンドを実行して、実行するレプリケーションのタイプを指定します。l フルレプリケーションを実行するには、--target-compare-initial-sync オプションを無効化する。たとえば、次のコマンドは、newPolicy に対する差分同期を無効にします。

isi sync policies modify newPolicy \--target-compare-initial-sync off

l 差分レプリケーションを実行するには、--target-compare-initial-sync オプションを有効化する。たとえば、次のコマンドは、newPolicy に対する差分同期を有効にします。

isi sync policies modify newPolicy \--target-compare-initial-sync on

3. isi sync jobs start コマンドを実行してポリシーを実行します。たとえば、次のコマンドは newPolicy を実行します。

isi sync jobs start newPolicy



データレプリケーションコマンドデータレプリケーションコマンドを通じて他の Isilon クラスターへのデータレプリケーションを制御できます。データレプリケーションコマンドは、特に SyncIQ ソフトウェアモジュールに対して適用され、SyncIQ ライセンスをアクティブ化した場合にのみ使用できます。

isi sync policies create

レプリケーションポリシーを作成します。

構文

isi sync policies create ［<name>］［<action>］［<source-root-path>］［<target-host>］［<target-path>］ [--description ［<string>］] [{--password ［<password>］ | --set-password}] [--source-include-directories ［<string>］]... [--source-exclude-directories ［<string>］]... [--begin-filter {［<predicate>］［<operator>］［<link>］}... --end-filter] [--schedule {［<schedule>］ | when-source-modified | when-snapshot-taken}] [--skip-when-source-unmodified {true | false}] [--rpo-alert ［<duration>］] [--job-delay ［<duration>］] [--snapshot-sync-pattern ［<pattern>］] [--snapshot-sync-existing {yes | no}] [--enabled {true | false}] [--check-integrity {true | false}] [--log-level ［<level>］] [--log-removed-files {yes | no}] [--workers-per-node ［<integer>］] [--target-snapshot-archive {on | off}] [--target-snapshot-pattern ［<naming-pattern>］] [--target-snapshot-expiration ［<duration>］] [--target-snapshot-alias ［<naming-pattern>］] [--target-detect-modifications {on | off}] [--source-snapshot-archive {on | off}] [--source-snapshot-pattern ［<naming-pattern>］] [--source-snapshot-expiration ［<duration>］] [--report-max-age ［<duration>］] [--report-max-count ［<integer>］] [--resolve {enable | disable}] [--restrict-target-network {on | off}] [--source-subnet ［<subnet>］ --source-pool ［<pool>］] [--target-compare-initial-sync {on | off}] [--accelerated-failback {yes | no}] [--priority {0 | 1}] [--cloud-deep-copy {deny | allow | force}] [--verbose]


レプリケーションポリシーの名前を指定します。文字列として指定します。

［<action>］


データレプリケーションコマンド 687

レプリケーションポリシーのタイプを指定します。次のタイプのレプリケーションポリシーが有効です。［copy］

ソースからターゲットにすべてのファイルのコピーを追加するコピーポリシーを作成します。

［sync］ソースクラスターのデータをターゲットクラスターに同期し、ソースクラスターに存在しないターゲットクラスターのすべてのファイルを削除する同期ポリシーを作成します。

［<source-root-path>］ファイルがレプリケートされるローカルクラスターのディレクトリを指定します。完全ディレクトリパスとして指定します。

［<target-host>］ポリシーがデータをレプリケートするクラスターを指定します。次のいずれかを指定します。l ターゲットクラスターのノードの完全修飾ドメイン名。l ターゲットクラスターのノードのホスト名。l ターゲットクラスターの SmartConnect ゾーンの名前。l ターゲットクラスターのノードの IPv4 または IPv6 アドレス。l localhost

データがローカルクラスターの別のディレクトリにレプリケートされます。

SyncIQ では、動的に割り当てられた IP アドレスプールはサポートされません。レプリケーションジョブが動的に割り当てられた IP アドレスに接続する場合、レプリケーションジョブの実行中にSmartConnect がアドレスを再割り当てする可能性があります。その場合は、ジョブが切断されてエラーが発生します。

［<target-path>］ファイルがレプリケートされるターゲットクラスターのディレクトリを指定します。完全ディレクトリパスとして指定します。

--description［<string>］レプリケーションポリシーの説明を指定します。

--password［<password>］ターゲットクラスターにアクセスするためのパスワードを指定します。ターゲットクラスターが認証の目的でパスワードを必要とする場合は、このパラメーターまたは--set-password を指定する必要があります。

--set-passwordコマンドの実行後に、ターゲットクラスターのパスワードを指定するように要求します。指定したパスワードを、クラスターの他のユーザーに見られないようにする場合に有用です。ターゲットクラスターが認証の目的でパスワードを必要とする場合は、このパラメーターまたは--password を指定する必要があります。

{--source-include-directories | -i} ［<path>］



指定したディレクトリのみをレプリケーションに含みます。ルートディレクトリに含まれるディレクトリパスとして指定します。--source-include-directories をコマンドに複数回指定することで、複数のディレクトリを指定できます。たとえば、ルートディレクトリが/ifs/data の場合、次のように指定できます。

--source-include-directories /ifs/data/music --source-include-directories /ifs/data/movies

{--source-exclude-directories | -e} ［<path>］指定したディレクトリをレプリケーションに含めません。ルートディレクトリに含まれるディレクトリパスとして指定します。--source-include-directories を指定すると、--source-exclude-directories ディレクトリは包含されたディレクトリに含まれる必要があります。--source-exclude-directories をコマンドに複数回指定することで、複数のディレクトリを指定できます。たとえば、次のように指定できます。

--source-exclude-directories /ifs/data/music --source-exclude-directories /ifs/data/movies \ --exclude /ifs/data/music/working

--begin-filter {［<predicate>］［<operator>］［<link>］}... --end-filterレプリケートするファイルを決定するファイル一致条件を指定します。ファイル一致条件に一致しないファイルはレプリケートされません。ファイル一致条件は、述部、演算子、リンクから構成されます。述部では、フィルターの基準にする属性を指定します（ファイルのサイズなど）。次の述部は有効です。--size［<integer>］[{B | KB | MB | GB | TB | PB}]

指定したファイルに応じてファイルを選択します。

--file-type［<value>］指定したファイルシステムのオブジェクトタイプのみを選択します。次の値が有効です。［f］

通常のファイルを指定します。

［d］ディレクトリを指定します。

［l］ソフトリンクを指定します。

--name［<value>］指定した文字列と一致する名前のファイルのみを選択します。次のワイルドカード文字を含めることができます。l ［*］l ［[ ]］l ［?］


isi sync policies create 689

--accessed-after '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間以降にアクセスされたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--accessed-before '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］]| ［<integer>］ {days | weeks | months | years} ago}'

指定した時間以降にアクセスされていないファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--accessed-time '［<integer>］ {days | weeks | months | years} ago'

指定した期間にアクセスされたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--birth-after '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間以降に作成されたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--birth-before '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間以前に作成されたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--birth-time '［<integer>］ {days | weeks | months | years} ago'

指定した期間に作成されたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--changed-after '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間以降に変更されたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--changed-before '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間以降に変更されていないファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--changed-time '［<integer>］ {days | weeks | months | years} ago'

指定した期間に変更されたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--no-groupグループが所有するかどうかに基づいてファイルを選択します。

--no-userユーザーが所有するかどうかに基づいてファイルを選択します。

--posix-regex-name［<value>］指定した POSIX正規表現と一致する名前のファイルのみを選択します。IEEE Std1003.2（POSIX.2）正規表現がサポートされています。

--user-id［<id>］



指定した ID のユーザーが所有しているかどうかに基づいてファイルを選択します。

--user-name［<name>］指定した名前のユーザーが所有しているかどうかに基づいてファイルを選択します。

--group-id［<id>］指定した ID のグループが所有しているかどうかに基づいてファイルを選択します。

--group-name［<name>］指定した名前のグループが所有しているかどうかに基づいてファイルを選択します。

演算子は、属性との関係で選択されるファイルを指定します（例：指定されたサイズより小さいすべてのファイルなど）。演算子は次の形式で指定します。

--operator <value>

次の演算子値が有効です。

値説明

eq 等しい。これがデフォルト値です。

ne 等しくない

lt より小さい

le 小さいか等しい

gt より大きい

ge 大きいか等しい

not Not

リンクは、ある条件とそれに続く条件の関係を指定します（例：ファイルは両方の条件が満たされた場合にのみ選択されるなど）。次のリンクが有効です。--and

この値の前後にあるオプションの条件に適合するファイルを選択します。--or

この値の前にあるオプションの条件またはこの値の後にあるオプションの条件のいずれかに適合するファイルを選択します。

{--schedule | -S} {［<schedule>］ | when-source-modified | when-snapshot-taken}

データがレプリケートされる回数を指定します。when-source-modified を指定すると、OneFS ではポリシーのソースディレクトリが変更されるたびにデータをレプリケートします。when-snapshot-taken を指定すると、OneFS ではソースディレクトリのスナップショットが作成されるたびにデータをレプリケートします。次の形式で指定します。














l at ［<hh>］[:［<mm>］] [{AM | PM}]



［<integer>］の末尾にオプションで「st」、「th」、「rd」を追加できます。たとえば、「Every1st month」を指定できます。曜日または 3 文字の略語を［<day>］に指定します。たとえば、「saturday」と「sat」の両方が有効です。

--skip-when-source-unmodified {true | false}

ポリシーが実行された最後の操作以降にソースディレクトリの内容が変更されていない場合に、ポリシーが実行されないようにします。このレプリケーションポリシーの--schedule が［<schedule>］に設定され、ソースディレクトリの内容に変更が行われる前にポリシーが実行されるようにスケジュール設定されている場合、ポリシーは実行されません。

--rpo-alert［<duration>］指定された RPO（目標復旧時点）を超えている場合、OneFS イベントを作成します。たとえば、RPO を 5 hours に設定します。ジョブが午後 1時 00分に開始し、午後 3時 00分に完了します。午後 3時 30分、2番目のジョブを開始します。2番目のジョブが午後 6時に完了しなかった場合、SyncIQは OneFS のイベントを作成します。デフォルト値は［0］です。この場合、イベントは生成されません。このオプションは、--schedule が［<schedule>］に設定されている場合にのみ有効です。



このオプションは、RPO アラートが SyncIQ設定を使用してグローバルに有効になっている場合にのみ有効です。これらのイベントのイベント IDは 400040020 です。

--job-delay［<duration>］ソースディレクトリが変更された後に、SyncIQ がレプリケーションジョブを開始する前に待機する時間を指定します。このレプリケーションポリシーの--schedule が when-source-modified に設定され、ソースディレクトリの内容が変更される場合、SyncIQはレプリケーションジョブを開始する前に指定された時間待機します。デフォルト値は［0 seconds］です。

--snapshot-sync-pattern［<pattern>］同期するスナップショットの命名パターンを指定します。　このレプリケーションポリシーの--schedule が when-snapshot-taken に設定され、ソースディレクトリのスナップショットが作成され、スナップショット名が指定された命名パターンに一致する場合、SyncIQはスナップショットをターゲットクラスターにレプリケートします。デフォルト値は［"*"］です。この場合、ポリシーの--schedule が［when-snapshot-taken］に設定されている場合、ソースディレクトリのすべてのスナップショットがレプリケートされます。

--snapshot-sync-existing {yes | no}

ポリシーが作成される前に作成されたスナップショットに含まれているデータをポリシーがレプリケートするかどうかを決定します。このレプリケーションポリシーの--schedule が when-snapshot-taken に設定されている場合、SyncIQは、--snapshot-sync-pattern オプションによって指定された命名パターンに一致するソースディレクトリの既存のスナップショットをすべてレプリケートします。デフォルト値は［no］です。

ターゲットクラスター上に同一のスナップショットを作成するには、--target-snapshot-archive［on］も指定する必要あります。


ポリシーを有効にするか無効にするかを決定します。デフォルト値は［true］です。

--check-integrity {true | false}

SyncIQ ジョブの影響を受けた各ファイルのデータパケットについてチェックサムを実行するかどうかを指定します。このオプションが true に設定され、チェックサム値が一致しない場合、SyncIQ ではファイルのデータパケットを再送信します。デフォルト値は［true］です。

--log-level［<level>］ログに記録されるデータ量を指定します。情報が少量から大量に整理される次の値が有効です。l ［fatal］



l ［error］l ［notice］l ［info］l ［copy］l ［debug］l ［trace］デフォルト値は［info］です。

--log-removed-files {yes | no}

同期ポリシーが実行されたときに削除されたすべてのファイルのログを SyncIQ が保持するかどうかを決定します。このパラメーターは、コピーポリシーに影響しません。デフォルト値は［no］です。

{--workers-per-node | -w} ［<integer>］ポリシーの各レプリケーションジョブを実行するために SyncIQ により生成されたノードあたりのワーカー数を指定します。デフォルト値は［3］です。

このオプションは廃止されており、構成されている場合は認識されません。

--target-snapshot-archive {on | off}

アーカイブスナップショットがターゲットクラスターに生成されるかどうかを決定します。このオプションが off に設定された場合、SyncIQ ではフェイルバックを容易にするためにターゲットクラスターに 1回につき 1 つのスナップショットを保持します。ターゲットクラスターにアーカイブスナップショットを生成するには、ターゲットクラスターの SnapshotIQ ライセンスをアクティブ化する必要があります。

--target-snapshot-pattern［<naming-pattern>］ターゲットクラスターのレプリケーションジョブにより生成されたスナップショットのスナップショット命名パターンを指定します。デフォルトの命名パターンは次の文字列です。

SIQ-%{SrcCluster}-%{PolicyName}-%Y-%m-%d_%H-%M

--target-snapshot-expiration［<duration>］ターゲットクラスターのアーカイブスナップショットの有効期限を指定します。このオプションが指定されない場合、アーカイブスナップショットはターゲットクラスターに無期限に残ります。次の形式で指定します。










--target-snapshot-alias［<naming-pattern>］ターゲットクラスターで生成された最新のアーカイブスナップショットの命名パターンを指定します。デフォルトのエイリアスは次の文字列です。

SIQ-%{SrcCluster}-%{PolicyName}-latest

--target-detect-modifications {on | off}

SyncIQ がファイルをレプリケートする前にターゲットディレクトリの変更をチェックするかどうかを決定します。

［off］を指定すると、データ消失を引き起こすことがあります。off を指定する前に、Isilon

テクニカルサポートに問合わせることをお勧めします。

--source-snapshot-archive {on | off}

アーカイブスナップショットがソースクラスターに保持されるかどうかを決定します。このオプションが off に設定された場合、SyncIQ ではポリシーによるレプリケーションを容易にするために 1回につき 1 つのスナップショットを保持します。

--source-snapshot-pattern［<naming-pattern>］ソースクラスターで生成された最新のアーカイブスナップショットの命名パターンを指定します。たとえば、次のパターンが有効です。

SIQ-source-%{PolicyName}-%Y-%m-%d_%H-%M

--source-snapshot-expiration［<duration>］ソースクラスターに保持されたアーカイブスナップショットの有効期限を指定します。このオプションが指定されない場合、アーカイブスナップショットはソースクラスターに無期限に存在します。次の形式で指定します。


次の［<units>］が有効です。



［Y］年を指定します。





--report-max-age［<duration>］レプリケーションレポートが SyncIQ により自動的に削除される前の保持期間を指定します。次の形式で指定します。








--report-max-count［<integer>］レプリケーションポリシーについて保持するレポートの最大数を指定します。

--resolve {enable | disable}

ポリシーでエラーが発生し、実行不能になった場合、ユーザーがポリシーを手動で解決できるかどうかを決定します。

--restrict-target-network {on | off}

on を指定し、ターゲットクラスターを SmartConnect ゾーンとして指定した場合、レプリケーションジョブは指定したゾーンのノードにのみ接続します。off を指定すると、レプリケーションジョブがターゲットクラスターの特定のノードに限定されることはありません。

--source-subnet［<subnet>］



ローカルクラスターの指定したサブネットのノードでのみレプリケーションジョブが実行されるように制限します。このオプションを指定する場合は、--source-pool も指定する必要があります。

--source-pool［<pool>］ローカルクラスターの指定したプールのノードでのみレプリケーションジョブが実行されるように制限します。このオプションを指定する場合は、--source-subnet も指定する必要があります。

--target-compare-initial-sync {on | off}

このポリシーで完全レプリケーションを実行するか差分レプリケーションを実行するかを決定します。ポリシーが最初に実行されたとき、およびポリシーがリセットされた後に、完全または差分レプリケーションが実行されます。on に設定した場合、差分レプリケーションが実行されます。off に設定した場合、完全レプリケーションが実行されます。レプリケーションポリシーが最初に実行されたときに差分レプリケーションが有効な場合、ポリシーの実行が遅いことがあり、メリットがありません。デフォルト値は［off］です。

--accelerated-failback {enable | disable}

有効な場合、SyncIQは、フェイルバックプロセス中にフェイルバック構成タスクの実行を待機するのではなく、次回ジョブを実行するときにフェイルバック構成タスクを実行します。これらのタスクを事前に実行すると、フェイルバック操作の速度が速くなります。

--priority {0 | 1}

ポリシーが優先するかどうかを決定します。デフォルト値は［0］です。これはポリシーが優先しないことを意味します。

--cloud-deep-copy {deny | allow | force}

ポリシーが CloudPools SmartLink をレプリケートする方法を決定します。deny に設定されている場合、SyncIQはすべての CloudPools SmartLink を SmartLink としてターゲットクラスターにレプリケートします。ターゲットクラスターが SmartLink をサポートしていない場合、ジョブは失敗します。force に設定されている場合、SyncIQはすべての SmartLink を通常のファイルとしてターゲットクラスターにレプリケートします。allow に設定されている場合、SyncIQは SmartLink を SmartLink としてターゲットクラスターにレプリケートしようとします。ターゲットクラスターが SmartLink をサポートしていない場合、SyncIQは SmartLink を通常のファイルとしてレプリケートします。

{--verbose | -v}

スナップショットスケジュールが作成されたことを確認するメッセージを表示します。

isi sync policies modify

既存のレプリケーションポリシーを変更します。

構文

isi sync policies modify ［<policy>］ [--name ［<new-policy-name>］] [--action ［<policy-type>］] [--target-host ［<target-cluster>］] [--target-path ［<target-path>］]


isi sync policies modify 697

[--source-root-path ［<root-path>］][--description ［<string>］][--password ［<password>］][--set-password][--source-include-directories ［<string>］][--clear-source-include-directories][--add-source-include-directories ［<string>］][--remove-source-include-directories ［<string>］][--source-exclude-directories ［<string>］][--clear-source-exclude-directories][--add-source-exclude-directories ［<string>］][--remove-source-exclude-directories ［<string>］][--begin-filter ［<predicate>］ --operator ［<value>］ ... --end-

filter][--scheduleschedule {［<schedule>］ | when-source-modified}][--skip-when-source-unmodified {true | false}][--rpo-alert ［<duration>］][--job-delay ［<duration>］][--clear-job-delay][--snapshot-sync-pattern ［<pattern>］][--snapshot-sync-existing {yes | no}][--enabled {true | false}][--check-integrity {true | false}][--log-level ［<level>］][--log-removed-files {yes | no}][--workers-per-node ［<integer>］][--target-snapshot-archive {on | off}][--target-snapshot-pattern ［<naming-pattern>］][--target-snapshot-expiration ［<duration>］][--target-snapshot-alias ［<naming-pattern>］][--target-detect-modifications {on | off}][--source-snapshot-archive {on | off}][--source-snapshot-pattern ［<naming-pattern>］][--source-snapshot-expiration ［<duration>］][--report-max-age ［<duration>］][--report-max-count ［<integer>］][--restrict-target-network {on | off}][--source-subnet ［<subnet>］ --source-pool ［<pool>］][--clear-source-network][--target-compare-initial-sync {on | off}][--accelerated-failback {yes | no}][--priority {0 | 1}][--cloud-deep-copy {deny | allow | force}][--verbose][--force]

オプション［<policy>］

現在のポリシー ID または名前のいずれかによって変更するポリシーを指定します。

{--name | -n} ［<new-policy-name>］このレプリケーションポリシーの新しい名前を指定します。

--action［<policy-type>］レプリケーションポリシーのタイプを指定します。次のタイプのレプリケーションポリシーが有効です。［copy］

ソースからターゲットにすべてのファイルのコピーを追加するコピーポリシーを作成します。



［sync］ソースクラスターのデータをターゲットクラスターに同期し、ソースクラスターに存在しないターゲットクラスターのすべてのファイルを削除する同期ポリシーを作成します。

{--target-host | -C} ［<target-cluster>］ポリシーがデータをレプリケートするクラスターを指定します。次のいずれかを指定します。l ターゲットクラスターのノードの完全修飾ドメイン名。

l ターゲットクラスターのノードのホスト名。

l ターゲットクラスターの SmartConnect ゾーンの名前。

l ターゲットクラスターのノードの IPv4 または IPv6 アドレス。l localhost

データがローカルクラスターの別のディレクトリにレプリケートされます。

SyncIQ では、動的に割り当てられた IP アドレスプールはサポートされません。レプリケーションジョブが動的に割り当てられた IP アドレスに接続する場合、レプリケーションジョブの実行中にSmartConnect がアドレスを再割り当てする可能性があります。その場合は、ジョブが切断されてエラーが発生します。

{--target-path | -p} ［<target-path>］ファイルがレプリケートされるターゲットクラスターのディレクトリを指定します。完全ディレクトリパスとして指定します。

--source-root-path［<root-path>］ファイルがレプリケートされるローカルクラスターのディレクトリを指定します。完全ディレクトリパスとして指定します。

--description［<string>］このレプリケーションポリシーの説明を指定します。

--password［<password>］ターゲットクラスターにアクセスするためのパスワードを指定します。ターゲットクラスターが認証の目的でパスワードを必要とする場合は、このパラメーターまたは--set-password を指定する必要があります。

--set-passwordコマンドの実行後に、ターゲットクラスターのパスワードを指定するように要求します。指定したパスワードを、クラスターの他のユーザーに見られないようにする場合に有用です。ターゲットクラスターが認証の目的でパスワードを必要とする場合は、このパラメーターまたは--password を指定する必要があります。

{--source-include-directories | -i} ［<path>］指定したディレクトリのみをレプリケーションに含みます。



ルートディレクトリに含まれるディレクトリパスとして指定します。--source-include-directories をコマンドに複数回指定することで、複数のディレクトリを指定できます。たとえば、ルートディレクトリが/ifs/data の場合、次のように指定できます。

--source-include-directories ［/ifs/data/music］ --source-include-directories ［/ifs/data/movies］

--clear-source-include-directories包含されたディレクトリのリストをクリアします。

--add-source-include-directories［<path>］包含されたディレクトリのリストに指定したディレクトリを追加します。

--remove-source-include-directories［<path>］包含されたディレクトリのリストから指定したディレクトリを削除します。

{--source-exclude-directories | -e} ［<path>］指定したディレクトリをレプリケーションに含めません。ルートディレクトリに含まれるディレクトリパスとして指定します。--source-include-directories を指定すると、--source-exclude-directories ディレクトリは包含されたディレクトリに含まれる必要があります。--source-exclude-directoriesをコマンドに複数回指定することで、複数のディレクトリを指定できます。たとえば、次のように指定できます。

--source-exclude-directories ［/ifs/data/music］ --source-exclude-directories ［/ifs/data/movies］ --exclude ［/ifs/data/music/working］

--clear-source-exclude-directories除外されたディレクトリのリストをクリアします。

--add-source-exclude-directories［<path>］除外されたディレクトリのリストに指定したディレクトリを追加します。

--remove-source-exclude-directories［<path>］除外されたディレクトリのリストから指定したディレクトリを削除します。

--begin-filter［<predicate>］--operator［<value>］ [［<predicate>］--operator<operator>［<link>］]... --end-filter

レプリケートするファイルを決定するファイル一致条件を指定します。次のオプションの 1 つ以上として［<predicate>］を指定します。次のオプションは、コピーポリシーと同期ポリシーの両方に対して有効です。--size［<integer>］[{B | KB | MB | GB | TB | PB}]

指定したファイルに応じてファイルを選択します。

--file-type［<value>］指定したファイルシステムのオブジェクトタイプのみを選択します。次の値が有効です。



［f］通常のファイルを指定します。

［d］ディレクトリを指定します。

［l］ソフトリンクを指定します。

--name［<value>］指定した文字列と一致する名前のファイルのみを選択します。次のワイルドカードを含めることができます。l ［*］l ［[ ]］l ［?］

次のオプションは、コピーポリシーに対してのみ有効です。--accessed-after '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間以降にアクセスされたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--accessed-before '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］]| ［<integer>］ {days | weeks | months | years} ago}'

指定した時間以降にアクセスされていないファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--accessed-time '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間にアクセスされたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--birth-after '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間以降に作成されたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--birth-before '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間以前に作成されたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--birth-time '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間に作成されたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--changed-after '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'



指定した時間以降に変更されたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--changed-before '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間以降に変更されていないファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--changed-time '{［<mm>］/［<dd>］/［<yyyy>］ [［<HH>］:［<mm>］] |［<integer>］ {days | weeks | months | years} ago}'

指定した時間に変更されたファイルを選択します。この述部は、コピーポリシーにのみ有効です。

--no-groupグループが所有するかどうかに基づいてファイルを選択します。

--no-userユーザーが所有するかどうかに基づいてファイルを選択します。

--posix-regex-name［<value>］指定した POSIX正規表現と一致する名前のファイルのみを選択します。IEEE Std1003.2（POSIX.2）正規表現がサポートされています。

--user-id［<id>］指定した ID のユーザーが所有しているかどうかに基づいてファイルを選択します。

--user-name［<name>］指定した名前のユーザーが所有しているかどうかに基づいてファイルを選択します。

--group-id［<id>］指定した ID のグループが所有しているかどうかに基づいてファイルを選択します。

--group-name［<name>］指定した名前のグループが所有しているかどうかに基づいてファイルを選択します。

次の［<operator>］値が有効です。

演算子説明

［eq］等しい。これがデフォルト値です。

［ne］等しくない

［lt］より小さい

［le］小さいか等しい

［gt］より大きい

［ge］大きいか等しい

［not］ Not

次の［<link>］値を使用して、述部に使用可能なオプションを組み合わせおよび変更できます。--and



この値の前後にあるオプションの条件に適合するファイルを選択します。--or

この値の前にあるオプションの条件またはこの値の後にあるオプションの条件のいずれかに適合するファイルを選択します。

{--schedule | -S} {［<schedule>］ | when-source-modified}

データがレプリケートされる回数を指定します。when-source-modified を指定すると、OneFS ではポリシーのソースディレクトリが変更されるたびにデータをレプリケートします。［<schedule>］を次の形式で指定します。












l at ［<hh>］[:［<mm>］] [{AM | PM}]



［<integer>］の末尾にオプションで「st」、「th」、「rd」を追加できます。たとえば、「Every 1stmonth」を指定できます。曜日または 3 文字の略語を［<day>］に指定します。たとえば、「saturday」と「sat」の両方が有効です。



ポリシーを手動でのみ実行するように構成するには、次のオプションを指定します。

--schedule ""

--skip-when-source-unmodified {true | false}

ポリシーが実行された最後の操作以降にソースディレクトリの内容が変更されていない場合に、ポリシーが実行されないようにします。このレプリケーションポリシーの--schedule が［<schedule>］に設定され、ソースディレクトリの内容に変更が行われる前にポリシーが実行されるようにスケジュール設定されている場合、ポリシーは実行されません。

--rpo-alert［<duration>］指定された RPO（目標復旧時点）を超えている場合、OneFS イベントを作成します。たとえば、RPO を 5 hours に設定します。ジョブが午後 1時 00分に開始し、午後 3時 00分に完了します。午後 3時 30分、2番目のジョブを開始します。2番目のジョブが午後 6時に完了しなかった場合、SyncIQは OneFS のイベントを作成します。デフォルト値は［0］です。この場合、イベントは生成されません。このオプションは、--schedule が［<Schedule>］に設定されている場合にのみ有効です。

このオプションは、RPO アラートが SyncIQ設定を使用してグローバルに有効になっている場合にのみ有効です。これらのイベントのイベント IDは 400040020 です。

--job-delay［<duration>］ソースディレクトリが変更された後に、SyncIQ がレプリケーションジョブを開始する前に待機する時間を指定します。このレプリケーションポリシーの--schedule が when-source-modified に設定され、ソースディレクトリの内容が変更される場合、SyncIQはレプリケーションジョブを開始する前に指定された時間待機します。デフォルト値は［0 seconds］です。

--clear-job-delayソースディレクトリが変更された後に、SyncIQ がレプリケーションジョブを開始する前に待機する時間をクリアします。

--snapshot-sync-pattern［<pattern>］同期するスナップショットの命名パターンを指定します。このレプリケーションポリシーの--schedule が when-snapshot-taken に設定され、ソースディレクトリのスナップショットが作成され、スナップショット名が指定された命名パターンに一致する場合、SyncIQはスナップショットをターゲットクラスターにレプリケートします。デフォルト値は［"*"］です。ポリシーの--schedule が［when-snapshot-taken］に設定されている場合、ソースディレクトリのすべてのスナップショットがレプリケートされます。

--snapshot-sync-existing {yes | no}

ポリシーが作成される前に作成されたスナップショットに含まれているデータをポリシーがレプリケートするかどうかを決定します。



ポリシーが最初に作成された後にこの設定を変更できないため、このオプションは isi syncpolicies modify で指定できません。


ポリシーを有効にするか無効にするかを決定します。

--check-integrity {true | false}

SyncIQ ジョブの影響を受けた各ファイルのデータパケットについてチェックサムを実行するかどうかを指定します。このオプションが true に設定され、チェックサム値が一致しない場合、SyncIQ ではファイルのデータパケットを再送信します。デフォルト値は［true］です。

--log-level［<level>］ログに記録されるデータ量を指定します。情報が少量から大量に整理される次の値が有効です。l ［fatal］l ［error］l ［notice］l ［info］l ［copy］l ［debug］l ［trace］デフォルト値は［info］です。

--log-removed-files {yes | no}

同期ポリシーが実行されたときに削除されたすべてのファイルのログを SyncIQ が保持するかどうかを決定します。ポリシーがコピーポリシーの場合、このパラメーターは効果がありません。デフォルト値は［no］です。

{--workers-per-node | -w} ［<integer>］ポリシーの各レプリケーションジョブを実行するために SyncIQ により生成されたノードあたりのワーカー数を指定します。デフォルト値は［3］です。

このオプションは廃止されており、構成されている場合は認識されません。

--target-snapshot-archive {on | off}

アーカイブスナップショットがターゲットクラスターに生成されるかどうかを決定します。このオプションが off に設定された場合、SyncIQ ではフェイルバックを容易にするためにターゲットクラスターに 1回につき 1 つのスナップショットを保持します。ターゲットクラスターにアーカイブスナップショットを生成するには、ターゲットクラスターの SnapshotIQ ライセンスをアクティブ化する必要があります。

--target-snapshot-pattern［<naming-pattern>］



ターゲットクラスターのレプリケーションジョブにより生成されたスナップショットのスナップショット命名パターンを指定します。デフォルトの命名パターンは次の文字列です。

SIQ-%{SrcCluster}-%{PolicyName}-%Y-%m-%d_%H-%M

--target-snapshot-expiration［<duration>］ターゲットクラスターのアーカイブスナップショットの有効期限を指定します。このオプションが指定されない場合、アーカイブスナップショットはターゲットクラスターに無期限に残ります。次の形式で指定します。








--target-snapshot-alias［<naming-pattern>］ターゲットクラスターで生成された最新のアーカイブスナップショットの命名パターンを指定します。デフォルトのエイリアスは次の文字列です。

SIQ-%{SrcCluster}-%{PolicyName}-latest

--target-detect-modifications {on | off}

SyncIQ がファイルをレプリケートする前にターゲットディレクトリの変更をチェックするかどうかを決定します。

［off］を指定すると、データ消失を引き起こすことがあります。off を指定する前に、Isilon

テクニカルサポートに問合わせることをお勧めします。

--source-snapshot-archive {on | off}



アーカイブスナップショットがソースクラスターに保持されるかどうかを決定します。このオプションが off に設定された場合、SyncIQ ではポリシーによるレプリケーションを容易にするために 1回につき 1 つのスナップショットを保持します。

--source-snapshot-pattern［<naming-pattern>］ソースクラスターで生成された最新のアーカイブスナップショットの命名パターンを指定します。たとえば、次のパターンが有効です。

SIQ-source-%{PolicyName}-%Y-%m-%d_%H-%M

--source-snapshot-expiration［<duration>］ソースクラスターに保持されたアーカイブスナップショットの有効期限を指定します。このオプションが指定されない場合、アーカイブスナップショットはソースクラスターに無期限に存在します。次の形式で指定します。








--report-max-age［<duration>］レプリケーションレポートが SyncIQ により自動的に削除される前の保持期間を指定します。次の形式で指定します。










--report-max-count［<integer>］レプリケーションポリシーについて保持するレポートの最大数を指定します。


on を指定し、ターゲットクラスターを SmartConnect ゾーンとして指定した場合、レプリケーションジョブは指定したゾーンのノードにのみ接続します。off を指定すると、レプリケーションジョブがターゲットクラスターの特定のノードに限定されることはありません。

--source-subnet［<subnet>］ローカルクラスターの指定したサブネットのノードでのみレプリケーションジョブが実行されるように制限します。

--source-pool［<pool>］ローカルクラスターの指定したプールのノードでのみレプリケーションジョブが実行されるように制限します。

--clear-source-network指定したサブネットにジョブを制限することなく、レプリケーションジョブをクラスターの任意のノードで実行します。

--target-compare-initial-sync {on | off}

このポリシーで完全レプリケーションを実行するか差分レプリケーションを実行するかを決定します。ポリシーが最初に実行されたとき、およびポリシーがリセットされた後に、完全または差分レプリケーションが実行されます。on に設定した場合、差分レプリケーションが実行されます。off に設定した場合、完全レプリケーションが実行されます。レプリケーションポリシーが最初に実行されたときに差分レプリケーションが有効な場合、ポリシーの実行が遅いことがあり、メリットがありません。デフォルト値は［off］です。

--accelerated-failback {enable | disable}

有効な場合、SyncIQは、フェイルバックプロセス中にフェイルバック構成タスクの実行を待機するのではなく、次回ジョブを実行するときにフェイルバック構成タスクを実行します。これらのタスクを事前に実行すると、フェイルバック操作の速度が速くなります。

--priority {0 | 1}

ポリシーが優先するかどうかを決定します。

--cloud-deep-copy {deny | allow | force}

ポリシーが CloudPools SmartLink をレプリケートする方法を決定します。deny に設定されている場合、SyncIQはすべての CloudPools SmartLink を SmartLink としてターゲットクラスターにレプリケートします。ターゲットクラスターが SmartLink をサポートしていない場合、ジョブは失敗します。force に設定されている場合、SyncIQはすべての SmartLink を通常のファイルとしてターゲットクラスターにレプリケートします。allow に設定されている場合、



SyncIQは SmartLink を SmartLink としてターゲットクラスターにレプリケートしようとします。ターゲットクラスターが SmartLink をサポートしていない場合、SyncIQは SmartLink を通常のファイルとしてレプリケートします。

{--verbose | -v}

確認メッセージを表示します。

{--force | -f}

変更の確認を求めるプロンプトを表示しません。

isi sync policies delete

レプリケーションポリシーを削除します。

コマンドは SyncIQ がターゲットクラスターと通信できるまで成功しません。それまでは、ポリシーはisi sync policies list コマンドの出力に表示されます。ソースクラスターとターゲットクラスター間の接続が再確立された後、SyncIQは次にジョブの実行がスケジュールされたときにポリシーを削除します。ポリシーが手動でのみ実行するように構成されている場合は、ポリシーを再度手動で実行する必要があります。 SyncIQ が永続的にターゲットクラスターと通信できない場合は、［--local-only］オプションを指定します。これにより、ポリシーはローカルクラスターからのみ削除され、ターゲットクラスター上のターゲットの関連づけは解除されません。

構文

isi sync policies delete {<policy> | --all} [--local-only] [--force] [--verbose]

オプション<policy>

指定したレプリケーションポリシーを削除します。

--allすべてのレプリケーションポリシーを削除します。

--local-onlyターゲットクラスター上のターゲットの関連づけを解除しません。ターゲットクラスター上のポリシーの関連づけを削除しない場合、ターゲットディレクトリは読み取り専用状態のままになります。

SyncIQ がターゲットクラスターと通信できない場合は、このオプションを指定してポリシーを正常に削除する必要があります。

{--force | -f}

関連づけられたジョブが現在実行中の場合でも、ポリシーを削除します。また、削除を確認するプロンプトを表示しません。


isi sync policies delete 709

関連づけられたレプリケーションジョブが現在実行中の場合は、ポリシーを強制的に削除するとエラーが発生することがあります。

{--verbose | -v}

確認メッセージを表示します。

isi sync policies list

レプリケーションポリシーの一覧を表示します。

構文

isi sync policies list [--limit ［<integer>］] [--sort ［<attribute>］] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプションオプションが指定されていない場合は、すべてのレプリケーションポリシーの表が表示されます。{--limit | -l} ［<integer>］


--sort［<attribute>］表示される出力を指定された属性でソートします。次の値が有効です。［name］

レプリケーションポリシーの名前で出力をソートします。

［target_path］ターゲットディレクトリのパスで出力をソートします。

［action］レプリケーションポリシーのタイプで出力をソートします。

［description］ポリシーの説明で出力をソートします。

［enabled］ポリシーが有効か無効かで出力をソートします。

［target_host］ターゲットクラスターで出力をソートします。

［check_integrity］レプリケーションジョブの影響を受ける各ファイルデータパケットでチェックサムを実行するようにポリシーが構成されているかどうかによって出力をソートします。



［source_root_path］ソースディレクトリのパスで出力をソートします。

［source_include_directories］レプリケーションに明示的に含められたディレクトリで出力をソートします。

［source_exclude_directories］レプリケーションから明示的に除外されたディレクトリで出力をソートします。

［file_matching_pattern］レプリケートされるファイルを決定する述部で出力をソートします。

［target_snapshot_archive］ターゲットクラスター上にアーカイブスナップショットが生成されるかどうかによって出力をソートします。

［target_snapshot_pattern］ターゲットクラスター上にレプリケーションジョブによって生成されるスナップショットのスナップショット命名パターンで出力をソートします。

［target_snapshot_expiration］ターゲットクラスター上のアーカイブスナップショットの有効期間で出力をソートします。

［target_detect_modifications］このポリシーに対してフルレプリケーションと差分レプリケーションのどちらが実行されるかによって出力をソートします。

［source_snapshot_archive］ソースクラスター上にアーカイブスナップショットが保持されるかどうかによって出力をソートします。

［source_snapshot_pattern］ソースクラスター上に生成される最新のアーカイブスナップショットの命名パターンで出力をソートします。

［source_snapshot_expiration］ソースクラスターに保持されるアーカイブスナップショットの有効期間で出力をソートします。

［schedule］ポリシーのスケジュールで出力をソートします。

［log_level］ログに記録されているデータ量で出力をソートします。

［log_removed_files］レプリケーションポリシーの実行時に削除されるすべてのファイルのログを OneFS が保持するかどうかによって出力をソートします。

［workers_per_node］ポリシーに対して各レプリケーションジョブを実行するために OneFS によって生成されるノードごとのワーカー数で出力をソートします。


isi sync policies list 711

［report_max_age］OneFS によって自動的に削除される前にレプリケーションレポートが保持される時間の長さによって出力をソートします。

［report_max_count］レプリケーションポリシーに対して保持されるレポートの最大数によって出力をソートします。

［force_interface］isi sync policies create または isi sync policies modify コマンドの--source-network オプションで指定されたサブネットのデフォルトのインターフェイスを介してのみデータが送信されるかどうかで出力をソートします。

［restrict_target_network］レプリケーションジョブがターゲットクラスター上の指定したゾーン内のノードへの接続に制限されるかどうかによって出力をソートします。

［target_compare_initial_sync］ポリシーに対してフルレプリケーションと差分レプリケーションのどちらが実行されるかによって出力をソートします。

［last_success］レプリケーションジョブが正常に完了した最後の時刻で出力をソートします。

［password_set］ポリシーでターゲットクラスターのパスワードを指定するかどうかによって出力をソートします。

［source_network］レプリケーションポリシーが制限されるローカルクラスター上のサブネットで出力をソートします。

［source_interface］レプリケーションポリシーが制限されるローカルクラスター上のプールで出力をソートします。

{--descending | -d}




{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}




isi sync policies reset

ポリシーでエラーが発生し、エラーの原因を識別または解決できなかった後で、レプリケーションポリシーをリセットします。エラーの原因を解決した場合は、代わりに isi sync policiesresolve を実行します。レプリケーションポリシーをリセットすると、次回のポリシー実行時にフルレプリケーションまたは差分レプリケーションが実行されます。

構文

isi sync policies reset {<policy> | --all} [--verbose]


指定したレプリケーションポリシーをリセットします。レプリケーションポリシー名または ID として指定します。

--allすべてのレプリケーションポリシーをリセットします。

{--verbose | -v}


isi sync policies resolve

ポリシーでエラーが発生し、エラーの原因が解決された後で、競合するレプリケーションポリシーを解決します。エラーの原因を解決できない場合は、代わりに isi sync policies reset コマンドを実行します。

構文

isi sync policies resolve <policy> [--force]


指定したレプリケーションポリシーを解決します。レプリケーションポリシー名または ID として指定します。

{--force | -f}


isi sync policies view

レプリケーションポリシーに関する情報を表示します。


isi sync policies reset 713

構文

isi sync policies view <policy>


指定したレプリケーションポリシーに関する情報を表示します。レプリケーションポリシー名または ID として指定します。

isi sync policies disable

レプリケーションポリシーを一時的に無効にします。レプリケーションポリシーが無効の場合、ポリシーはレプリケーションジョブを作成しません。ただし、レプリケーションジョブが現在レプリケーションポリシーに対して実行されている場合、ポリシーを無効にしてもジョブは一時停止または停止されません。

構文

isi sync policies disable {<policy> | --all} [--verbose]


指定したレプリケーションポリシーを無効にします。レプリケーションポリシー名またはレプリケーションポリシー ID として指定します。

--allクラスター上のすべてのレプリケーションポリシーを無効にします。


isi sync policies enable

無効になっているレプリケーションポリシーを有効にします。

構文

isi sync policies enable {<policy> | --all} [--verbose]


指定したレプリケーションポリシーを有効にします。レプリケーションポリシー名またはレプリケーションポリシー ID として指定します。

--allクラスター上のすべてのレプリケーションポリシーを有効にします。

--verbose




isi sync jobs start

レプリケーションポリシーのレプリケーションジョブを開始します。

構文

isi sync jobs start <policy-name> [--test] [--source-snapshot ［<snapshot>］] [--verbose]

オプション<policy-name>

指定したレプリケーションポリシーのレプリケーションジョブを開始します。

--test指定したポリシーが実行された場合にレプリケートされるファイルとディレクトリの数を反映したレプリケーションポリシーレポートを作成します。これまでに実行されていないポリシーのみテストできます。

--source-snapshot［<snapshot>］指定した SnapshotIQ スナップショットに従ってデータをレプリケートします。指定されている場合、レプリケーションジョブのスナップショットは生成されません。 SyncIQ ツールで生成されたスナップショットによるデータのレプリケートはサポートされません。スナップショット名または ID として指定します。指定したスナップショットにポリシーのソースディレクトリが含まれている必要があります。このオプションは、最後のレプリケーションジョブが正常に完了した場合、あるいはフルレプリケーションまたは差分レプリケーションを実行している場合にのみ有効です。最後のレプリケーションジョブが正常に完了した場合、指定したスナップショットは最後のレプリケーションジョブで参照されたスナップショットよりも新しい必要があります。

{--verbose | -v}


isi sync jobs pause

実行中のレプリケーションジョブを一時停止します。

構文

isi sync jobs pause {<policy-name> | --all} [--verbose]


指定したレプリケーションポリシーに従って作成されたジョブを一時停止します。レプリケーションポリシー名として指定します。

--all現在実行中のすべてのレプリケーションジョブを一時停止します。


isi sync jobs start 715

{--verbose | -v}


isi sync jobs resume

一時停止中のレプリケーションジョブを再開します。

構文

isi sync jobs resume {<policy-name> | --all} [--verbose]


指定したポリシーによって作成された一時停止中のジョブを再開します。レプリケーションポリシー名として指定します。

--all現在実行中のすべてのレプリケーションを再開します。

{--verbose | -v}


isi sync jobs cancel

実行中または一時停止中のレプリケーションジョブを取り消します。

構文

isi sync jobs cancel {<policy-name> | --all} [--verbose]


指定したレプリケーションポリシーに従って作成されたジョブを取り消します。レプリケーションポリシー名または ID として指定します。

--all現在実行中のすべてのレプリケーションジョブを取り消します。


isi sync jobs list

レプリケーションポリシーの最後に完了したレプリケーションジョブと次にスケジュールされているレプリケーションジョブに関する情報を表示します。



構文

isi sync jobs list [--state ［<state>］] [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプションオプションが指定されていない場合は、すべてのポリシーのレプリケーションジョブに関する情報が表示されます。--state［<state>］

指定した状態のジョブのみ表示します。次の値が有効です。［scheduled ］

実行がスケジュール設定されているジョブを表示します。

［running］実行中のジョブを表示します。

［paused］ユーザーが一時停止したジョブを表示します。

finished

正常に完了したジョブを表示します。

failed

レプリケーションプロセス中に失敗したジョブを表示します。

canceled

ユーザーが取り消したジョブを表示します。

needs_attention

続行する前にユーザー介入が必要なジョブを表示します。



{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi sync jobs view

実行中のレプリケーションジョブに関する情報を表示します。


isi sync jobs view 717

構文

isi sync jobs view <policy>


指定したポリシーに従って作成された実行中のレプリケーションジョブに関する情報を表示します。レプリケーションポリシー名または ID として指定します。

isi sync jobs reports list

ローカルクラスターをターゲットとする実行中のレプリケーションジョブに関する情報を表示します。

構文

isi sync jobs reports list [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]





{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi sync jobs reports view

ローカルクラスターをターゲットとする実行中のレプリケーションジョブに関する情報を表示します。

構文

isi sync jobs reports view <policy>




指定したレプリケーションポリシーに従って作成されたレプリケーションジョブに関する情報を表示します。レプリケーションポリシー名または ID として指定します。

isi sync settings modify

グローバルレプリケーション設定を管理します。

構文

isi sync settings modify [--service {on | off | paused}] [--source-subnet ［<subnet>］] [--source-pool ［<pool>］] [--restrict-target-network {on | off}] [--report-max-age ［<duration>］] [--report-max-count ［<integer>］] [--report-email ［<email-address>］] [--clear-report-email] [--add-report-email ［<email-address>］] [--remove-report-email ［<email-address>］] [--verbose]

オプションオプションが指定されていない場合は、現在のデフォルトレプリケーションレポート設定が表示されます。--service {on | off | paused}

SyncIQ ツールの状態を決定します。

--source-subnet［<subnet>］ローカルクラスターの指定したサブネットのノードでのみレプリケーションジョブが実行されるように制限します。

--source-pool［<pool>］ローカルクラスターの指定したプールのノードでのみレプリケーションジョブが実行されるように制限します。


on を指定し、ターゲットクラスターを SmartConnect ゾーンとして指定した場合、レプリケーションジョブは指定したゾーンのノードにのみ接続します。 off を指定すると、レプリケーションジョブがターゲットクラスターの特定のノードに制限されることはありません。

SyncIQは、動的に割り当てられた IP アドレスプールをサポートしていません。レプリケーションジョブが動的に割り当てられた IP アドレスに接続している場合、SmartConnect ではレプリケーションジョブの実行中にアドレスを再割り当てすることがあり、ジョブが切断され、失敗します。

--report-max-age［<duration>］SyncIQ がレポートを自動的に削除する前にそれらのレポートを保持するデフォルトの時間を指定します。


isi sync settings modify 719

次の形式で指定します。







--report-max-count［<integer>］レプリケーションポリシーに対して保持されるレポートのデフォルトの最大数を指定します。

{--verbose | -v}


isi sync settings view

グローバルレプリケーション設定を表示します。

構文

isi sync settings view


isi sync target cancel

ローカルクラスターをターゲットとする実行中のレプリケーションジョブを取り消します。

構文

isi sync target cancel {<policy> | --target-path ［<path>］ | --all} [--verbose]


指定したレプリケーションポリシーに従って作成されたレプリケーションジョブを取り消します。レプリケーションポリシー名または ID として指定します。

--target-path［<path>］



指定したディレクトリをターゲットとしているレプリケーションジョブを取り消します。

--allローカルクラスターをターゲットとするすべての実行中のレプリケーションジョブを取り消します。


isi sync target list

ローカルクラスターをターゲットとしているレプリケーションポリシーの一覧を表示します。

構文

isi sync target list [--target-path ［<path>］] [--limit ［<integer>］] [--sort ［<attribute>］] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプションオプションが指定されていない場合は、現在ローカルクラスターをターゲットとしているすべてのレプリケーションポリシーの表が表示されます。--target-path［<path>］

指定されたディレクトリをターゲットとしているレプリケーションポリシーに関する情報を表示します。


--sort［<attribute>］表示される出力を指定された属性でソートします。次の値が有効です。name

レプリケーションポリシーの名前で出力をソートします。

source_host

ソースクラスターの名前で出力をソートします。

target_path

ターゲットディレクトリのパスで出力をソートします。

last_job_status

ポリシーに従って作成された最後のレプリケーションジョブのステータスで出力をソートします。

failover_failback_state

ターゲットディレクトリが読み取り専用かどうかで出力をソートします。


isi sync target list 721

{--descending | -d}




{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi sync target view

ローカルクラスターをターゲットとするレプリケーションポリシーに関する情報を表示します。

構文

isi sync target view {<policy-name> | --target-path ［<path>］}


指定したポリシーに関する情報を表示します。

--target-path［<path>］指定されたディレクトリをターゲットとしているポリシーに関する情報を表示します。

isi sync target break

ローカルクラスターとターゲットクラスター間でのレプリケーションポリシーの関連づけを破棄します。

ソースとターゲット間の関連づけを破棄する場合は、ポリシーを再び実行する前にレプリケーションポリシーをリセットする必要があります。レプリケートされるデータ量に応じて、フルまたは差分レプリケーションの完了には非常に長時間かかる場合があります。

構文

isi sync target break {<policy> | --target-path ［<path>］} [--force] [--verbose]


このクラスターをターゲットとする指定したレプリケーションポリシーの関連づけを削除します。



レプリケーションポリシー名、レプリケーションポリシー ID、ターゲットディレクトリのパスとして指定します。

--target-path［<path>］指定されたディレクトリパスをターゲットとしているレプリケーションポリシーの関連づけを削除します。

{--force | -f}

関連づけられたジョブが現在実行中の場合でも、レプリケーションポリシーの関連づけを強制的に削除します。

関連づけられたリポジトリジョブが現在実行中の場合は、ターゲットを強制的に破棄するとエラーが発生することがあります。

{--verbose | -v}


isi sync target reports list

ローカルクラスターをターゲットとする完了したレプリケーションジョブに関する情報を表示します。

構文

isi sync target reports list [--state ［<state>］] [--limit ［<integer>］] [--sort ［<attribute>］] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプションオプションが指定されていない場合は、すべての完了レプリケーションジョブに関する基本情報が表示されます。--state［<state>］

指定された状態のレプリケーションジョブに関する情報のみを表示します。次の状態が有効です。l ［scheduled］l ［running］l ［paused］l ［finished］l ［failed］l ［canceled］l ［needs_attention］l ［unknown］


isi sync target reports list 723


--sort［<attribute>］表示される出力を指定された属性でソートします。次の値が有効です。start_time

レプリケーションジョブが開始された時間で出力をソートします。

end_timeレプリケーションジョブが終了した時間で出力をソートします。

actionレプリケーションジョブが実行したアクションで出力をソートします。

stateレプリケーションジョブの進行状況で出力をソートします。

idレプリケーションサブレポートの ID で出力をソートします。

policy_idレプリケーションポリシーの ID で出力をソートします。

policy_nameレプリケーションポリシーの名前で出力をソートします。

job_idレプリケーションジョブの ID で出力をソートします。

total_filesレプリケーションジョブにより変更されたファイルの合計数で出力をソートします。

files_transferredターゲットクラスターに転送されたファイルの合計数で出力をソートします。

bytes_transferredターゲットクラスターに転送されたファイルの合計数で出力をソートします。

durationレプリケーションジョブの実行時間の長さで出力をソートします。

errorsレプリケーションジョブで発生したエラーにより出力をソートします。

warningsレプリケーションジョブがトリガーした警告で出力をソートします。

{--descending | -d}






{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi sync target reports view

ローカルクラスターをターゲットとする完了したレプリケーションジョブに関する情報を表示します。

構文

isi sync target reports view <policy> <job-id>


指定したレプリケーションポリシーに関するレプリケーションレポートを表示します。

<job-id>指定した ID のジョブに関するレプリケーションレポートを表示します。

isi sync target reports subreports list

ローカルクラスターが対象の完了したレプリケーションジョブに関するサブレポートを表示します。

構文

isi sync target reports subreports list <policy> <job-id> [--limit] [--sort ［<attribute>］] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]


指定したポリシーに関するサブレポートを表示します。<job-id>

指定した ID のジョブに関するサブレポートを表示します。


--sort［<attribute>］


isi sync target reports view 725

表示される出力を指定された属性でソートします。次の値が有効です。start_time





idレプリケーションレポートの ID で出力をソートします。










{--descending | -d}




{--no-header | -a}




{--no-footer | -z}


{--verbose | -v}


isi sync target reports subreports view

ローカルクラスターが対象の完了したレプリケーションジョブに関するサブレポートを表示します。

構文

isi sync target reports subreports view <policy> <job-id> <subreport-id>


指定したレプリケーションポリシーに関するサブレポートを表示します。レプリケーションポリシー名として指定します。

<job-id>指定したレプリケーションジョブに関するサブレポートを表示します。レプリケーションジョブ ID として指定します。

<subreport-id>指定した ID のサブレポートを表示します。

isi sync reports list

リモートクラスターが対象の完了したレプリケーションジョブに関する情報を表示します。

構文

isi sync reports list [--policy-name ［<policy>］] [--state ［<state>］] [--reports-per-policy ［<integer>］] [--limit ［<integer>］] [--sort ［<attribute>］] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプション--policy-name［<policy>］

指定されたポリシーに対して作成されたレプリケーションレポートだけを表示します。

--state［<state>］ジョブが指定された状態であるレプリケーションレポートだけを表示します。

--reports-per-policy［<integer>］


isi sync target reports subreports view 727

ポリシーあたり表示するレポートの最大数を指定します。 10 デフォルト値はです。







idレプリケーションサブレポートの ID で出力をソートします。










{--descending | -d}






{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi sync reports view

リモートクラスターをターゲットとする完了したレプリケーションジョブに関する情報を表示します。

構文

isi sync reports view <policy> <job-id>


指定したレプリケーションポリシーに関するレプリケーションレポートを表示します。

<job-id>指定した ID のジョブに関するレプリケーションレポートを表示します。

isi sync reports rotate

レプリケーションレポートの数が最大値を超えている場合は、レプリケーションレポートを削除します。システムはときどき多すぎるレポートを自動的に削除します。一方、このコマンドを使用すると、多すぎるレポートが直ちに削除されます。

構文

isi sync reports rotate [--verbose]

オプション{--verbose | -v}


isi sync reports subreports list

リモートクラスターをターゲットとする完了したレプリケーションジョブに関するサブレポートを表示します。


isi sync reports view 729

構文

isi sync reports subreports list <policy> <job-id> [--limit] [--sort ［<attribute>］] [--descending] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]


指定したポリシーに関するサブレポートを表示します。<job-id>

指定した ID のジョブに関するサブレポートを表示します。







idレプリケーションレポートの ID で出力をソートします。






bytes_transferred



ターゲットクラスターに転送されたファイルの合計数で出力をソートします。




{--descending | -d}




{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi sync reports subreports view

リモートクラスターをターゲットとする完了したレプリケーションジョブに関するサブレポートを表示します。

構文

isi sync reports subreports view <policy> <job-id> <subreport-id>


指定したレプリケーションポリシーに関するサブレポートを表示します。レプリケーションポリシー名として指定します。

<job-id>指定したレプリケーションジョブに関するサブレポートを表示します。レプリケーションジョブ ID として指定します。

<subreport-id>指定した ID のサブレポートを表示します。


isi sync reports subreports view 731

isi sync recovery allow-write

ローカルクラスターとポリシーの間の関連づけを断つことなく、レプリケーションポリシーのターゲットディレクトリ内のデータを変更できます。 isi sync target allow_write コマンドを最もよく使用するのは、フェイルオーバー操作とフェイルバック操作です。

構文

isi sync recovery allow-write <policy-name>[--revert][--log-level ［<level>］][--workers-per-node ［<integer>］][--verbose]


指定したレプリケーションポリシーのターゲットディレクトリに対する書き込みを許可します。レプリケーションポリシー名、レプリケーションポリシー ID、ターゲットディレクトリのパスとして指定します。

--revertローカルクラスターでの書き込み許可操作だけを元に戻します。このアクションは、レプリケーションポリシーのソースクラスターには影響を与えません。

--log-level［<level>］ログに記録されるデータ量を指定します。情報が少量から大量に整理される次の値が有効です。l ［fatal］l ［error］l ［notice］l ［info］l ［copy］l ［debug］l ［trace］デフォルト値は［info］です。

{--workers-per-node | -w}［<integer>］書き込み許可ジョブを実行するために SyncIQ によって生成されるワーカーのノードあたりの数を指定します。デフォルト値は［3］です。

{--verbose | -v}




isi sync recovery resync-prep

指定されたポリシーを無効にし、ポリシーのソースディレクトリを最後のリカバリポイントに戻し、ターゲットクラスターにミラーポリシーを作成します。 isi sync resync prep コマンドを最もよく使用するのは、フェイルバック操作です。

構文

isi sync recovery resync-prep <policy-name> [--verbose]


以下のレプリケーションポリシーをターゲットとします。レプリケーションポリシー名または ID として指定します。レプリケーションポリシーは、同期ポリシーである必要があります。


isi sync rules create

レプリケーションパフォーマンスルールを作成します。

構文

isi sync rules create <type> <interval> <days> <limit> [--description ［<string>］] [--verbose]

オプション<type>

パフォーマンスルールのタイプを入力します。次の値が有効です。file_count

レプリケーションジョブによって 1秒あたりに送信されるファイル数を制限するパフォーマンスルールを作成します。

bandwidthレプリケーションジョブが使用できる帯域幅の量を制限するパフォーマンスルールを作成します。

<interval>指定した時間数にパフォーマンスルールを適用します。次の形式で指定します。

［<hh>］:［<mm>］-［<hh>］:［<mm>］

<days>指定した日数にパフォーマンスルールを適用します。


isi sync recovery resync-prep 733

次の値が有効です。［X］

日曜日を指定します。

［M］月曜日を指定します。

［T］火曜日を指定します。

［W］水曜日を指定します。

［R］木曜日を指定します。

［F］金曜日を指定します。

［S］土曜日を指定します。

コンマで区切った複数の値を指定することにより複数の日を含めることができます。ダッシュで区切った 2 つの値を指定することにより日数の範囲を含めることができます。

<limit>レプリケーションジョブが 1秒あたりに送信できるファイルの最大数または使用できる KB を指定します。

--description［<string>］このパフォーマンスルールの説明を入力します。


isi sync rules modify

レプリケーションパフォーマンスルールを変更します。

構文

isi sync rules modify <id> [--interval ［<interval>］] [--days ［<days>］] [--limit ［<integer>］] [--enabled {true | false}] [--description ［<string>］] [--verbose]

オプション<id>

指定された ID のレプリケーションパフォーマンスルールを変更します。



{--interval | -i} ［<interval>］1日のうちでパフォーマンスルールを強制する時間を指定します。次の形式で指定します。

［<hh>］:［<mm>］-［<hh>］:［<mm>］

{--days | -d} ［<days>］1週間のうちでパフォーマンスルールを強制する曜日を指定します。次の値が有効です。［X］

日曜日を指定します。

［M］月曜日を指定します。

［T］火曜日を指定します。

［W］水曜日を指定します。

［R］木曜日を指定します。

［F］金曜日を指定します。

［S］土曜日を指定します。

コンマで区切った複数の値を指定することにより複数の日を含めることができます。ダッシュで区切った 2 つの値を指定することにより日数の範囲を含めることができます。

--limit<limit>レプリケーションジョブが 1秒あたりに送信できるファイルの最大数または使用できる KB を指定します。


ポリシーを有効にするか無効にするかを決定します。

--description［<string>］このパフォーマンスルールの説明を入力します。

{--verbose | -v}


isi sync rules delete

レプリケーションパフォーマンスルールを削除します。


isi sync rules delete 735

構文

isi sync rules delete {<id> | --all | --type ［<type>］} [--force] [--verbose]

オプション<id>

指定された ID のパフォーマンスルールを削除します。

--allすべてのパフォーマンスルールを削除します。

--type［<type>］指定されたタイプのすべてのパフォーマンスルールを削除します。次の値が有効です。file_count

レプリケーションジョブによって 1秒あたりに送信できるファイル数を制限するすべてのパフォーマンスルールを削除します。

bandwidth

レプリケーションジョブが使用できる帯域幅の量を制限するすべてのパフォーマンスルールを削除します。

--forceパフォーマンスルールの削除の確認をユーザーに表示しません。


isi sync rules list

レプリケーションパフォーマンスルールのリストを表示します。

構文

isi sync rules list [--type ［<type>］] [--limit] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプション--type［<type>］

指定されたタイプのパフォーマンスルールだけを表示します。次の値が有効です。file_count

レプリケーションジョブによって 1秒あたりに送信できるファイル数を制限するパフォーマンスルールのみ表示します。

bandwidth



レプリケーションジョブが使用できる帯域幅の量を制限するパフォーマンスルールのみ表示します。




{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


isi sync rules view

レプリケーションパフォーマンスルールに関する情報を表示します。

構文

isi sync rules view <id>

オプション<id>

指定された ID のレプリケーションパフォーマンスルールに関する情報を表示します。


isi sync rules view 737

第 17 章

FlexProtect を使用したデータレイアウト


l FlexProtect の概要........................................................................................... 740l ファイルストライピング........................................................................................... 740l リクエストされたデータ保護.................................................................................... 740l FlexProtect データリカバリ................................................................................... 741l データ保護のリクエスト..........................................................................................742l リクエストされた保護設定......................................................................................743l リクエストされた保護ディスク領域の使用量..............................................................743

FlexProtect を使用したデータレイアウト 739

FlexProtectの概要Isilon クラスターは、1台以上のコンポーネントが同時に障害に陥っても、データを継続的に提供できるように設計されています。 OneFSは、クラスター全体にデータをストライピングまたはミラーリングすることにより、データの可用性を確保します。クラスターのコンポーネントが障害になった場合、障害になったコンポーネントに格納されていたデータは、別のコンポーネント上で利用可能になります。コンポーネント障害の後、失われたデータは、FlexProtect専用のシステムによって、正常に動作するコンポーネント上でリストアされます。データ保護はブロックレベルではなく、ファイルレベルで指定されており、システムは素早くデータを復旧できます。すべてのデータ、メタデータ、パリティ情報は、すべてのノードに分散されるため、クラスターに専用のパリティノードまたはドライブは必要ありません。これにより、1 つのノードが再構築プロセスの速度を制限することはありません。

ファイルストライピングOneFSは、Isilon クラスタの内部ネットワークを使用し、クラスタ内の個々のノードとディスクにまたがってデータを自動的に分散します。OneFSは、データの書き込み時にファイルを保護します。データを保護するための他のアクションは必要ありません。ストレージにファイルを書き込む前に、OneFSはファイルをストライプと呼ばれるさらに小さな論理チャンクに分割します。各ファイルチャンクのサイズは、ストライプユニットサイズと呼ばれます。各OneFS のブロックは 8 KB で、1 ストライプユニットは 16 ブロックで構成され、1 ストライプユニットごとに合計で 128 KB になります。書き込み時に OneFSはデータを複数のストライプに分割して、ストライプユニットにデータを論理的に配置します。OneFS がクラスタ全体にデータを書き込む場合、書き込み可能なノード数と指定された保護ポリシーに応じて、OneFSはストライプユニットを満たしてデータを保護します。OneFSは、継続的にデータを再割り当てするので、ストレージ領域をより有効かつ効率的に使用できます。クラスタサイズが大きくなるにつれて、大きなファイルはより効率的に格納されます。128 KB以下のファイルを保護する場合は、OneFSはファイルをさらに小さな論理チャンクに分割することはしません。代わりに OneFSは、FEC（前方エラー訂正）によるミラーリングを行います。ミラーリングにより、OneFSは各小規模ファイルのデータ（N）のコピーを作成し、FECパリティチャンク（M）を追加して、保護ユニット（N + M）全体の複数のインスタンスをクラスタ全体に分散します。

リクエストされたデータ保護リクエストされたデータの保護は、データがコンポーネントの障害から保護されるように、クラスター上で作成される冗長データの量を決定します。 OneFS では、クライアントがクラスターに対してデータの読み取りや書き込みを行っているときに、リクエストされた保護をリアルタイムで変更できます。OneFS には、いくつかのデータ保護設定があります。これらの保護設定は、クラスターやファイルシステムを再起動したりオフラインにすることなく、いつでも変更できます。ストレージソリューションを計画する際には、リクエストされた保護の増加が、ライトパフォーマンスを低下させ、増加したノード数に対してストレージ領域の追加が必要になることに注意してください。OneFSは N+M の保護にリードソロモンアルゴリズムを使用しています。 N+M データ保護モデルでは、Nはデータストライプユニット数を表し、Mは、データ消失を発生させることなくクラスターが対処可能なノードまたはドライブの同時障害数（またはノードとドライブの障害の組み合わせ）を表します。 NはM より大きい必要があります。



N+M データ保護に加えて、OneFS では、2倍から 8倍までのデータミラーリングもサポートしており、データのミラーを 2 から 8個作成できます。クラスター全体のパフォーマンスとリソース消費に関しては、N+M保護の方がミラーリングによる保護よりも多くの場合効率的になります。ただし、N+M保護ではリード/ライトパフォーマンスが低下するため、データミラーリングは、頻繁に更新されサイズが小さいデータに対して高速な場合があります。データミラーリングでは多大なオーバーヘッドが生じるため、必ずしも最善のデータ保護方法ではありません。たとえば、3倍のミラーリングを有効化すると、指定されたコンテンツはクラスター上で 3回複製されます。ミラーリングするコンテンツの量によっては、大量のストレージ領域が消費されます。

FlexProtect データリカバリOneFSは FlexProtect専用のシステムを使用して、ノードまたはドライブの障害により縮退状態にあるファイルやディレクトリを検出して修復します。OneFSは、構成されている保護ポリシーに基づいてクラスター内のデータを保護します。 OneFSは障害になったディスクを再構築し、クラスター全体の空きストレージ領域を使用してデータ消失をさらに防ぎ、データを監視し、危険なコンポーネントからデータを移動します。OneFSは、クラスター全体にすべてのデータおよびエラー訂正情報を分散するため、同時に複数のコンポーネント障害が発生しても、すべてのデータは元の状態で維持され、アクセスできます。通常の運用条件では、クラスター上のすべてのデータが、1個のノードまたはドライブでの 1件以上の障害に対して保護されます。ただし、ノードまたはドライブが故障した場合、データが再度 OneFS で保護されるまで、クラスターの保護ステータスは縮退状態と見なされます。 OneFSは、クラスターの空き領域にデータを再構築することにより、データを再保護します。保護ステータスが縮退状態になっている場合、データ消失が起きやすくなります。データはクラスターの空き領域に再構築されるため、クラスターがコンポーネント障害から回復するために、専用のホットスペアノードやドライブは必要ありません。データを再構築するには、ある程度の空き領域が必要なため、仮想ホットスペア機能を通じて適切な空き領域を確保することをお勧めします。ノードを追加するほど、クラスターがリカバリ操作中に使用できる CPU、メモリー、ディスク容量が多くなります。クラスターの規模が大きくなると、データの再ストライピング操作が高速になります。

SmartFail

OneFSは、SmartFail と呼ばれるプロセスを通じて、障害になったノードまたはドライブに格納されているデータを保護します。SmartFail処理の間、OneFSはデバイスを隔離します。隔離されたデバイスに格納されているデータは読み取り専用になります。デバイスが隔離されている間、OneFSは、他のデバイスにデータを分散させることにより、デバイス上のデータを再保護します。すべてのデータ移行が完了すると、OneFSはクラスターからデバイスを論理的に削除し、クラスターはその幅を新しい構成に論理的に変更し、ノードまたはドライブが物理的に交換できるようになります。OneFSは、最後の手段としてのみデバイスの SmartFail を実行します。ノードまたはドライブに対し手動で SmartFail を実行できますが、まず Isilon のテクニカルサポートに相談することをお勧めします。OneFS が問題を検出する前にデバイスが障害になることがあります。ドライブが SmartFail されずに障害になった場合、OneFSは、クラスターの使用可能な空き領域で自動的にデータの再構築を開始します。しかし、ノードが障害から回復する可能性があるため、ノードが障害になった場合、OneFSは、ノードがクラスターから論理的に削除されない限りデータの再構築を開始しません。


FlexProtect データリカバリ 741

ノード障害ノード障害が一時的な問題であることは少なくないため、OneFSは、ノードが障害になったりオフラインになったりしても、自動的にはデータの再保護を開始しません。ファイルシステムは、一時的な障害の間は変更されないため、ノードが再起動すれば、ファイルシステムを再構築する必要はありません。クラスターで N+1 データ保護を構成し、ノードに障害が発生した場合、クラスター内の他のどのノードからでも、すべてのデータにアクセスできます。ノードはオンラインに戻ると、自動的にクラスターに参加するため、一から再構築する必要はありません。クラスターから物理的にノードを削除した場合、データを保護された状態に保つため、論理的にもクラスターからノードを削除する必要があります。論理的にノードを削除すると、そのノードが自分自身のドライブを自動的に再フォーマットし、出荷時のデフォルト設定にリセットします。リセットは、すべてのデータが再保護されたことを OneFS が確認した後でのみ実行されます。ノードは、SmartFail処理を使用して論理的に削除できます。ノードの SmartFailは、クラスターからノードを完全に削除する場合にのみ使用することが大切です。新しいノードを追加する前に障害になったノードを削除すると、障害になったノードに格納されていたデータを、クラスターの空き領域で再構築する必要があります。新しいノードを追加した後、OneFSはデータを新しいノードに分散します。交換ノードは、古いノードに障害が発生する前にクラスターに追加した方が効率的です。これは、OneFS がすぐに交換ノードを使用し、障害が発生したノードに格納されているデータを再構築できるためです。

データ保護のリクエストリクエストされた保護を設定することにより、ファイルまたはディレクトリの保護を指定できます。この柔軟性により、個別のデータセットをデフォルトより高いレベルで保護できます。リクエストされたデータの保護は OneFS によって計算され、クラスタ内のストレージプールに自動的に設定されます。推奨保護がデフォルト設定になっており、データ保護とストレージ効率性のバランスが最適になっています。たとえば推奨保護の N+2：1は、ドライブ 2台あるいは 1 つのノードに障害が発生しても、データが消失しないことを意味します。結果を最適にするには、最低でもデータの推奨保護をクラスタで採用することをお勧めします。重要なファイル、ディレクトリ、ノードプールに対して、推奨保護よりさらに高いレベルの保護をいつでも指定することができます。OneFS では、クラスタが現在対応できない保護をリクエストできます。対応できない保護をリクエストした場合、クラスタは、対応が可能になるまでリクエストされた保護に対応しようとし続けます。たとえば、4 ノードクラスタで、5倍のミラー保護をリクエストすることができます。この例では、OneFSは、5番目のノードをクラスタに追加するまで 4倍でデータをミラーし、5番目のノードが追加されるとデータを 5倍で再保護します。推奨保護より低いレベルのリクエスト保護を設定すると、この条件に対して OneFS が警告を表示します。

4U Isilon IQ X シリーズおよび NL シリーズのノードと、IQ 12000X/EX 12000 を組み合わせたプラットフォームでは、3 ノードの最小クラスタサイズには最小保護 N+2:1 が必要です。



リクエストされた保護設定リクエストされた保護設定では、クラスターがデータ消失を発生させることなくリカバリできるハードウェア障害のレベルを決定します。

リクエストされた保護設定必要な最小ノード数定義

[+1n] 3 クラスターは、データ消失なく 1台のドライブまたはノードの障害からリカバリできます。

[+2d:1n] 3 クラスターは、データ消失なく 2台のドライブの同時障害または 1台のノード障害からリカバリできます。

[+2n] 4 クラスターは、データ消失なく 2台のドライブまたはノードの同時障害からリカバリできます。


[+3d:1n1d] 3 クラスターは、データ消失なく 3台のドライブの同時障害または 1台のノードと 1

台のドライブの同時障害からリカバリできます。



[+4d:2n] 4 クラスターは、データ消失なく 4台のドライブの同時障害または 2台のノードの障害からリカバリできます。


N倍（データミラーリング） N

たとえば、5倍には最低 5

台のノードが必要です。

クラスターは、データ消失なく N - 1台のドライブまたはノードの障害からリカバリできます。たとえば、5倍の保護は、クラスターが 4台のドライブまたはノードの障害からリカバリできることを意味します。

リクエストされた保護ディスク領域の使用量データのリクエストされた保護を高めると、クラスタ上のデータによって消費されるスペースの量も増えます。


リクエストされた保護設定 743

N + M保護のパリティのオーバーヘッドは、ファイルサイズとクラスタ内のノード数によって異なります。パリティのオーバーヘッドの割合は、クラスタが大きくなるにつれて、下降します。次の表は、リクエストされた保護とクラスタまたはノードプールのサイズに応じて予測されるオーバーヘッドの割合を示しています。この表では、クラスタサイズに基づく推奨される保護レベルは示されていません。

ノードの数 [+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]

3 2 +1（33%） 4 + 2

（33%）— 6 + 3

（33%）3 + 3（50%） — 8 + 4

（33%）— —

4 3 +1（25%） 6 + 2

（25%）2 + 2

（50%）9 + 3

（25%）5 + 3（38%） — 12 + 4

（25%）4 + 4

（50%）—

5 4 +1（20%） 8 + 2

（20%）3 + 2

（40%）12 + 3

（20%）7 + 3（30%） — 16 + 4

（20%）6 + 4

（40%）—

6 5 +1（17%） 10 + 2

（17%）4 + 2

（33%）15 + 3

（17%）9 + 3（25%） 3 + 3

（50%）16 + 4

（20%）8 + 4

（33%）—

7 6 +1（14%） 12 + 2

（14%）5 + 2

（29%）15 + 3

（17%）11 + 3（21%） 4 + 3

（43%）16 + 4

（20%）10 + 4

（29%）—

8 7 +1（13%） 14 + 2

（12.5%）6 + 2

（25%）15 + 3

（17%）13 + 3（19%） 5 + 3

（38%）16 + 4

（20%）12 + 4

（25%）4 + 4

（50%）

9 8 +1（11%） 16 + 2

（11%）7 + 2

（22%）15 + 3

（17%）15 + 3（17%） 6 + 3

（33%）16 + 4

（20%）14 + 4

（22%）5 + 4

（44%）

10 9 +1（10%） 16 + 2

（11%）8 + 2

（20%）15 + 3

（17%）15 + 3（17%） 7 + 3

（30%）16 + 4

（20%）16 + 4

（20%）6 + 4

（40%）

12 11 +1（8%） 16 + 2

（11%）10 + 2

（17%）15 + 3

（17%）15 + 3（17%） 9 + 3

（25%）16 + 4

（20%）16 + 4

（20%）8 + 4

（33%）

14 13 + 1（7%） 16 + 2

（11%）12 + 2

（14%）15 + 3

（17%）15 + 3（17%） 11 + 3

（21%）16 + 4

（20%）16 + 4

（20%）10 + 4

（29%）

16 15 + 1

（6%）16 + 2

（11%）14 + 2

（13%）15 + 3

（17%）15 + 3（17%） 13 + 3

（19%）16 + 4

（20%）16 + 4

（20%）12 + 4

（25%）

18 16 + 1

（6%）16 + 2

（11%）16 + 2

（11%）15 + 3

（17%）15 + 3（17%） 15 + 3

（17%）16 + 4

（20%）16 + 4

（20%）14 + 4

（22%）

20 16 + 1

（6%）16 + 2

（11%）16 + 2

（11%）16 + 3

（16%）16 + 3（16%） 16 + 3

（16%）16 + 4

（20%）16 + 4

（20%）16 + 4

（20%）

30 16 + 1

（6%）16 + 2

（11%）16 + 2

（11%）16 + 3

（16%）16 + 3（16%） 16 + 3

（16%）16 + 4

（20%）16 + 4

（20%）16 + 4

（20%）

ミラーリングによるデータ保護のパリティのオーバーヘッドは、クラスタ内のノード数による影響を受けません。次の表では、リクエストされた、ミラーされた保護のパリティのオーバーヘッドが示されています。

2x 3x 4x 5x 6x 7x 8x

50% 67% 75% 80% 83% 86% 88%



第 18 章

NDMPバックアップとリカバリの概要


l NDMPバックアップおよびリストアの概要..................................................................746l NDMP 2方向バックアップ.................................................................................... 746l NDMP 3方向バックアップ.................................................................................... 747l NDMP 3方向操作のための優先 IP の設定...........................................................747l NDMP マルチストリームのバックアップ/リカバリ......................................................... 747l スナップショットベースの増分バックアップ.................................................................. 748l NDMP プロトコルのサポート..................................................................................749l サポートされる DMA............................................................................................ 749l NDMP ハードウェアのサポート............................................................................... 750l NDMPバックアップの制限事項.............................................................................750l NDMP のパフォーマンスに関する推奨事項............................................................. 750l NDMPバックアップからのファイルとディレクトリの除外.................................................752l 基本 NDMPバックアップ設定の構成..................................................................... 753l NDMP ユーザーアカウントの管理......................................................................... 754l NDMPバックアップデバイスの管理........................................................................755l NDMP のファイバーチャネルポートの管理.............................................................. 757l NDMP優先 IP設定項目の管理.........................................................................758l NDMP セッションの管理.......................................................................................760l NDMP再開可能バックアップの管理......................................................................762l NDMP リストア処理............................................................................................ 764l デフォルトの NDMP変数の管理........................................................................... 765l スナップショットベースの増分バックアップの管理.........................................................774l NDMPバックアップログの表示 ............................................................................. 775l NDMPバックアップコマンド................................................................................... 775

NDMPバックアップとリカバリの概要 745

NDMPバックアップおよびリストアの概要OneFS では、NDMP（Network Data Management Protocol）を介して、ファイルシステムのデータをバックアップおよびリストアできます。バックアップサーバから、EMC Isilon クラスタと、テープデバイス、メディアサーバ、VTL（仮想テープライブラリ）などのバックアップデバイスの間の、バックアップ処理とリストア処理を指示することができます。以下に、NDMP の機能の一部を紹介します。l NDMPは、2方向バックアップモデルと 3方向バックアップモデルをサポートしています。l 特定のデータ管理アプリケーションでは、NDMPは BRE（再開可能バックアップ拡張機能）を

サポートしています。NDMP BRE を使用すると、障害発生前の最後のチェックポイントから、失敗したバックアップジョブを再開することができます。失敗したジョブはすぐに再開されます。スケジュール設定または手動での開始はできません。

l NDMPバックアップを実行するためにクラスタで SnapshotIQ ライセンスをアクティブ化する必要はありません。SnapshotIQ ライセンスをクラスタでアクティブ化してある場合、SnapshotIQ ツールを通じてスナップショットを生成し、同じスナップショットをバックアップできます。SnapshotIQ スナップショットをバックアップする場合、OneFSはバックアップの別のスナップショットを作成しません。

l NDMP を通じてWORM ドメインをバックアップすることもできます。

IsilonSD Edge の NDMPバックアップとリカバリIsilonSD Edgeは、3方向の NDMPバックアップモデルのみをサポートしています。双方向のNDMPバックアップでは、サポートされていない IsilonSD クラスター上のバックアップアクセラレータノードが必要です。

NDMP 2方向バックアップNDMP 2方向バックアップは、ローカルまたは直接 NDMPバックアップとも呼ばれます。NDMP 2方向バックアップを実行するには、EMC Isilon クラスターをバックアップアクセラレータノードに接続し、テープデバイスをバックアップアクセラレータノードに接続する必要があります。テープデバイスにバックアップするには、その前に OneFS を使用してそのデバイスを検出する必要があります。サポートされるテープデバイスをバックアップアクセラレータノードのファイバーチャネルポートに直接接続できます。または、ファイバーチャネルスイッチをバックアップアクセラレータノードのファイバーチャネルポートに接続し、テープおよびメディアチェンジャーデバイスをファイバーチャネルスイッチに接続できます。詳細については、ファイバーチャネルスイッチのマニュアルで、バックアップアクセラレータノードと接続されているテープデバイスおよびメディアチェンジャーデバイスの間の通信を可能にするための、スイッチのゾーニングについて参照してください。テープデバイスをバックアップアクセラレータノードに接続すると、クラスターは、ノードを起動またはリスタートしたときか、ファイバーチャネルポートを再スキャンしてデバイスを検出したときにデバイスを検出します。クラスターがテープデバイスを検出する場合、クラスターは検出した各デバイスへのパスのためのエントリーを作成します。ファイバーチャネルスイッチ経由でデバイスを接続する場合、1台のデバイスについて複数のパスが存在する可能性があります。たとえば、テープデバイスをファイバーチャネルスイッチに接続し、ファイバーチャネルスイッチを 2個のファイバーチャネルポートに接続した場合、OneFSはパスごとに 1個ずつ合計 2個のエントリーをデバイスに対して作成します。



IsilonSD Edge では、NDMP 2方向バックアップはサポートされていません。

NDMP 3方向バックアップNDMP 3方向バックアップは、リモート NDMPバックアップとも呼ばれます。3方向 NDMPバックアップ操作では、バックアップサーバー上の DMA（データ管理アプリケーション）が、LAN に接続されているか、DMA に直接接続されているテープメディアサーバーへのデータのバックアップを開始するようクラスターに指示します。NDMP サービスは 1台の NDMP サーバー上で実行され、NDMP テープサービスは別のサーバー上で実行されます。双方のサーバーはネットワーク境界を越えて相互に接続されます。

NDMP 3方向操作のための優先 IPの設定複数のネットワークインターフェイスのある環境で、NDMP 3方向操作の DMA（データ管理アプリケーション）として Avamar を使用している場合は、EMC Isilon クラスタ間または OneFS で定義されている 1 つ以上のサブネットに対して優先 IP設定を適用できます。優先 IP設定とは、NDMP3方向操作中にデータサーバまたはテープサーバを接続する優先順位付きの IP アドレスのリストです。DMA からの受信リクエストを受信する NDMP サーバの IP アドレスにより、優先権設定の範囲と優先度が決まります。受信 IP アドレスが優先権が設定されたサブネットの範囲内にある場合は、優先権設定が適用されます。サブネット固有の優先権設定はなくても、クラスタ全体の優先権設定がある場合は、クラスタ全体にわたる優先権設定が適用されます。クラスタ全体の優先権設定は、常にサブネット固有の優先権設定により上書きされます。クラスタ全体の優先権設定もサブネット固有の優先権設定も存在しない場合は、DMA からの受信リクエストを受信する IP アドレスのサブネット内の IP アドレスが優先 IP アドレスとして使用されます。クラスタまたはネットワークサブネットごとに優先 IP設定を 1 つ持つことができます。NDMP優先 IP のリストの指定は、isi ndmp settings preferred-ips コマンドで行います。

NDMP マルチストリームのバックアップ/リカバリ特定の DMA（データ管理アプリケーション）と連携して NDMP のマルチストリームバックアップ機能を使用して、バックアップを高速化できます。マルチストリームバックアップでは、DMA を使用して、同時にバックアップするデータの複数のストリームを指定できます。OneFS では、特定のマルチストリームバックアップ操作のすべてのストリームを同じバックアップコンテキストの一部であると見なします。マルチストリームバックアップセッションが成功すると、マルチストリームバックアップコンテキストは削除されます。失敗したストリームがあると、バックアップ操作の完了後も 5分間バックアップコンテキストが保持されるため、その時間内であれば失敗したストリームを再試行することができます。データをテープドライブにバックアップする NDMP のマルチストリームバックアップ機能を使用した場合、DMA によっては複数のストリームのデータもリカバリできます。OneFS 8.0.0 では、マルチストリームバックアップは、CommVault Simpanaバージョン 11.0 Service Pack 3 と EMC NetWorkerバージョン 9.0.1 でサポートされています。CommVault Simpana を使用してデータをバックアップすると、マルチストリームのコンテキストは作成されますが、データは一度に 1 ストリームずつリカバリされます。


NDMP 3方向バックアップ 747

OneFS のマルチストリームバックアップは、NDMP の再開可能バックアップ機能ではサポートされていません。

スナップショットベースの増分バックアップスナップショットベースの増分バックアップを実装して、これらのバックアップの実行スピードを上げることができます。スナップショットベースの増分バックアップ中、OneFSは、前回の NDMPバックアップ操作で取得されたスナップショットをチェックして、新しいスナップショットと比較します。その後、OneFSは、最後のスナップショットの取得以降に変更されたすべてのファイルをバックアップします。増分バックアップにスナップショットが関与しない場合、OneFSは、ディレクトリをスキャンして、どのファイルが変更されたかを検出する必要があります。OneFSは、変更率が低い場合、増分バックアップを非常に高速に実行できます。増分バックアップは、クラスターで SnapshotIQ ライセンスをアクティブ化しなくても実行できます。SnapshotIQは多数の有用な機能を提供しますが、NDMPバックアップ/リカバリでのスナップショット機能は強化しません。BACKUP_MODE環境変数を［SNAPSHOT］に設定して、スナップショットベースの増分バックアップを有効化します。スナップショットベースの増分バックアップを有効化した場合、OneFSは、同じまたは下位レベルの新しいバックアップが実行されるまで、NDMPバックアップ用に取得された各スナップショットを保持します。一方、スナップショットベースの増分バックアップを有効化しない場合、OneFSは、対応するバックアップが完了またはキャンセルされた後、生成された各スナップショットを自動的に削除します。BACKUP_MODE環境変数の設定後、スナップショットベースの増分バックアップは次の表に示す特定の DMA（データ管理アプリケーション）と連動します。

表 3 DMA によるスナップショットベースの増分バックアップのサポート

DMA サポート

Symantec NetBackup ×

環境変数を使用してスナップショットベースの増分バックアップを有効化できます。

EMC NetWorker 可

EMC Avamar 可

CommVault Simpana 可

IBM Tivoli Storage Manager ×

Symantec Backup Exec ×

Dell NetVault ×

ASG-Time Navigator ×



NDMPプロトコルのサポートバージョン 3 または 4 の NDMP プロトコルによって EMC Isilon クラスターデータをバックアップできます。OneFSは、NDMPバージョン 3 と 4 の以下の機能をサポートしています。l フル（レベル 0）NDMPバックアップl 増分（レベル 1～9）NDMPバックアップおよび永久増分バックアップ（レベル 10）。

レベル 10 の NDMPバックアップでは、最新の増分バックアップ（レベル 1～9）または最後のレベル 10 のバックアップ以降に変更されたデータのみがコピーされます。レベル 10 のバックアップを繰り返すことで、フルバックアップを実行しなくても、データセット内の最新バージョンのファイルを確実にバックアップできます。

l トークンベースの NDMPバックアップl NDMP TARバックアップタイプl ダンプバックアップタイプl パスベースおよびディレクトリ/ノードファイル履歴形式l DAR（Direct Access Restore）l DDAR（ディレクトリ DAR）l 特定のファイルとディレクトリのバックアップへの追加と除外l ファイル属性のバックアップl ACL（アクセスコントロールリスト）のバックアップl ADS（代替データストリーム）のバックアップl BRE（再開可能バックアップ拡張機能）OneFSは、IPv4 または IPv6 によるクラスターへの接続をサポートします。

サポートされる DMANDMPバックアップは、バックアップサーバーで動作する DMA（データ管理アプリケーション）によって調整されます。OneFSは Isilon Third-Party Software and Hardware Compatibility Guide に記載されているすべての DMA をサポートします。

サポートされるすべての DMAは IPv4 プロトコルを通じて EMC Isilon クラスターに接続できます。ただし、IPv6 プロトコルは、EMC Isilon クラスターに接続するため、DMA の一部でのみサポートします。


NDMP プロトコルのサポート 749

https://support.emc.com/docu45932_Isilon-Third-Party-Software-and-Hardware-Compatibility-Guide-.pdf?language=en_US

NDMPハードウェアのサポートOneFS では、テープデバイスおよび VTL（仮想テープライブラリ）でデータをバックアップおよびリカバリできます。サポートされるテープデバイス

NDMP 2方向バックアップに対してサポートされているテープデバイスのリストは、IsilonThird-Party Software and Hardware Compatibility Guide の「OneFS and NDMPhardware compatibility」セクションを参照してください。3方向の NDMPバックアップの場合、サポートされるテープデバイスは DMA（データ管理アプリケーション）によって決定されます。

サポートされるテープライブラリNDMP 2方向および 3方向バックアップの場合、OneFSは DMA によってサポートされるすべてのテープライブラリをサポートします。

サポートされる仮想テープライブラリサポートされている仮想テープライブラリのリストは、Isilon Third-Party Software andHardware Compatibility Guide の「OneFS and NDMP hardware compatibility」セクションを参照してください。3方向 NDMPバックアップの場合、サポートされる仮想テープライブラリは DMA によって決定されます。

NDMPバックアップの制限事項NDMPバックアップには次の制限事項があります。l 4 KB を超えるパスレングスをサポートしません。l ファイルの保護レベルポリシーやクォータなどのファイルシステム構成データはバックアップしませ

ん。l 256 KB を超えるテープブロックはバックアップしません。l OneFS以外のファイルシステムからのデータのリカバリをサポートしていません。ただし、

isi_vol_copy ツールを使用して、NDMP プロトコルを介して NetApp または EMC VNX ストレージシステムから OneFS へデータを移行できます。ツールの詳細については、「OneFSMigration Tools Guide」を参照してください。

l バックアップアクセラレータノードは、4,096個を超えるテープパスとやり取りすることはできません。

NDMPのパフォーマンスに関する推奨事項OneFS NDMPバックアップを最適化するには、以下の事項を考慮してください。

パフォーマンスに関する一般的な推奨事項l OneFS と、使用している DMA（データ管理アプリケーション）の最新のパッチをインストールし

ます。l A100バックアップアクセラレータノードあたり最大 8個の NDMP コンカレントセッションと

Isilon IQバックアップアクセラレータノードあたり 4個の NDMP コンカレントセッションを実行して、セッションあたり最適なスループットを実現します。







l NDMPバックアップにより、RPO（目標復旧時点）と RTO（目標復旧時間）が非常に高くなります。1 つ以上のバックアップアクセラレータノードをクラスターに接続し、2方向 NDMPバックアップを実行することで、RPO と RTO を削減できます。

l バックアップおよびリカバリ処理中の Isilon クラスターのスループットはデータセットに依存し、小さなファイルではかなり低減されます。

l 大量の小容量ファイルをバックアップする場合は、ディレクトリごとに個別のスケジュールを設定します。

l NDMP 3方向バックアップを実行する場合は、Isilon クラスターの複数のノードで複数のNDMP セッションを実行します。

l ファイルを頻繁にリカバリする場合には、特に DAR（Direct Access Recovery）を使用してファイルをリカバリします。ただし、DARは少数のファイルのリストアに適しているため、DAR を使用したフルバックアップのリカバリや多数のファイルのリカバリを行わないことをお勧めします。

l 大量のファイルを頻繁にリカバリする場合は、DDAR（ディレクトリ DAR）を使用してファイルをリカバリします。

l 使用しているバージョンの OneFS で使用できる、最大のテープレコードサイズを使用してスループットを高めます。

l 可能であれば、バックアップにファイルを追加または除外しないようにします。ファイルを追加または除外すると、フィルタリングのオーバーヘッドにより、バックアップパフォーマンスに影響を及ぼす可能性があります。

l ファイルシステム中のネストしたサブディレクトリの深さを制限します。l ディレクトリ中のファイルの数を制限します。多数のファイルを 1個のディレクトリに格納するので

はなく、ファイルを複数のディレクトリに分散させます。

SmartConnectの推奨事項l SmartConnect での 2方向 NDMPバックアップセッションには、バックアップおよびリカバリ処

理用のバックアップアクセラレータが必要です。ただし、SmartConnect との 3方向 NDMP セッションでは、これらの操作にバックアップアクセラレータは不要です。

l SmartConnect との NDMP 2方向バックアップセッションでは、バックアップアクセラレータノード上の NIC（ネットワークインターフェイスカード）のプールから構成される専用のSmartConnect ゾーンを通じて NDMP セッションに接続します。

l SmartConnectなしでの 2方向 NDMPバックアップセッションでは、バックアップアクセラレータノードの固定 IP アドレスまたは完全修飾ドメイン名を使用してバックアップセッションを開始します。

l 3方向 NDMPバックアップ操作では、フロントエンド Ethernet ネットワークまたはノードのインターフェイスを使用してバックアップトラフィックを処理します。したがって、まだ他のワークロードまたは接続の処理で過負荷になっていないノードのみを使用して NDMP セッションを開始するように DMA を構成することを推奨します。

l SmartConnect がある場合とない場合の 3方向 NDMPバックアップ操作では、NDMP セッションの実行用に識別されているノードの IP アドレスを使用してバックアップセッションを開始します。

バックアップアクセラレータの推奨事項l バックアップアクセラレータノードには静的 IP アドレスを割り当てます。l 大規模なクラスターには、より多くのバックアップアクセラレータノードを接続します。推奨される

バックアップアクセラレータノード数を次の表に示します。


NDMP のパフォーマンスに関する推奨事項 751

表 4 バックアップアクセラレータノードあたりのノード数

ノードのタイプバックアップアクセラレータノードあたりの推奨されるノード数

X シリーズ 3

NL シリーズ 3

S シリーズ 3

HD シリーズ 3

l より多くのテープデバイスにバックアップする場合は、より多くのバックアップアクセラレータノードを接続します。

DMA固有の推奨事項l DMA がこのオプションをサポートする場合は、DMA の並列化を有効化します。これにより、

OneFSは、同時に複数のテープデバイスにデータをバックアップできるようになります。

NDMPバックアップからのファイルとディレクトリの除外DMA（データ管理アプリケーション）を通じて NDMP環境変数を指定することにより、ファイルとディレクトリを NDMPバックアップ操作から除外できます。ファイルまたはディレクトリを追加すると、他のすべてのファイルとディレクトリは、バックアップ操作から自動的に除外されます。ファイルまたはディレクトリを除外すると、除外したファイルまたはディレクトリを除くすべてのファイルとディレクトリがバックアップされます。次の文字パターンを指定することにより、ファイルとディレクトリを追加または除外できます。表に示されている例は、バックアップパスが/ifs/data である場合にのみ有効です。

表 5 NDMP のファイルとディレクトリを照合するワイルドカード

文字説明例追加または除外されるディレクトリ

* 任意の 1個以上の文字に置き換わる

archive* archive1src/archive42_a/media

[] ある範囲の文字または数字に置き換わる

data_store_[a-f]data_store_[0-9]

/ifs/data/data_store_a/ifs/data/data_store_c/ifs/data/data_store_8

? 任意の 1文字に置き換わる

user_? /ifs/data/user_1/ifs/data/user_2

\ 空白を追加 user\ 1 /ifs/data/user 1

// 1 つのスラッシュ（/）に置き換わる

ifs//data//archive /ifs/data/archive

*** 1 つのアスタリスク（*）に置き換わる

.. パスの冒頭にある場合にパターンを無視する

../home/john home/john



""は、複数のパターンが指定される場合に Symantec NetBackup に必要です。パターンは、ディレクトリに制限されません。

アンカーされていないパターンは、homeや user1 のように、多数のファイルやディレクトリに属する可能性があるテキストの文字列をターゲットにします。パターンに「/」が含まれている場合は、アンカーされているパターンです。アンカーされているパターンは、常にパスの先頭から照合されます。パスの途中のパターンは照合されません。アンカーされているパターンは、ifs/data/home のように、特定のファイルのパス名をターゲットにします。どちらのタイプのパターンも追加または除外できます。追加パターンと除外パターンの両方を指定した場合、追加パターンが最初に処理され、続いて除外パターンが処理されます。追加パターンと除外パターンの両方を指定すると、追加されるディレクトリの下の除外されるファイルやディレクトリはバックアップされません。除外ディレクトリが追加ディレクトリのいずれにも見つからない場合、除外指定は効果がありません。

アンカーされていないパターンを指定すると、バックアップのパフォーマンスが低下することがあります。アンカーされていないパターンはできるだけ避けることをお勧めします。

基本 NDMPバックアップ設定の構成NDMPバックアップ設定を構成して、EMC Ision クラスター上でこれらのバックアップを実行する方法を制御できます。また、NDMPバックアップの特定の DMA（データ管理アプリケーション）と通信するように OneFS を構成することもできます。

NDMPバックアップの構成と有効化OneFS では、デフォルトで NDMPバックアップは無効になっています。NDMPバックアップを実行する前に、NDMPバックアップを有効にし、NDMP設定を構成する必要があります。手順

1. 次のコマンドを実行して NDMPバックアップを有効化します。

isi ndmp settings global modify --service=yes

2. isi ndmp settings set コマンドを実行して NDMPバックアップを構成します。

次のコマンドを実行すると、EMC NetWorker と通信するように OneFS が構成されます。

isi ndmp settings global modify --dma=emc


基本 NDMPバックアップ設定の構成 753

NDMPバックアップの無効化今後 NDMP を通じてデータをバックアップしない場合は、NDMPバックアップを無効にすることができます。手順l 次のコマンドを実行します。

isi ndmp settings global modify service=no

NDMPバックアップの設定クラスター上で NDMPバックアップを実行する方法を制御する設定を構成できます。

次の情報が isi ndmp settings global view コマンドの出力に表示されます。port

DMA（データ管理アプリケーション）がクラスターに接続するために使用するポートの番号。

dma

クラスターが通信するよう構成されている DMA ベンダー。

NDMPバックアップ設定の表示現在の NDMPバックアップ設定を表示できます。これは、サービスが有効かどうか、DMA（データ管理アプリケーション）がクラスターに接続するために経由するポート、OneFS が通信するように構成されている DMA ベンダーを示します。

手順l isi ndmp settings global view コマンドを実行します。

NDMP設定が表示されます。

Service: True Port: 10000 Dma: generic Bre Max Num Contexts: 64Msb Context Retention Duration: 300Msr Context Retention Duration: 600

NDMP ユーザーアカウントの管理NDMP ユーザーアカウントを作成、削除、またそのパスワードを変更できます。

NDMP ユーザーアカウントの作成NDMPバックアップを実行する前に、DMA（データ管理アプリケーション）がクラスターにアクセスする際に使用する NDMP ユーザーアカウントを作成する必要があります。

手順l isi ndmp users create コマンドを実行します。



次のコマンドを実行すると、1234 というパスワードを持つ NDMPuser という NDMP ユーザーアカウントが作成されます。

isi ndmp users create NDMPuser --password=1234

NDMP ユーザーアカウントのパスワードの変更NDMP ユーザーアカウントのパスワードを変更できます。

手順l isi ndmp users modify コマンドを実行します。

次のコマンドを実行すると、NDMPuser という名前のユーザーのパスワードが 5678 に変更されます。

isi ndmp users modify NDMPuser --password=5678

NDMP ユーザーアカウントの削除NDMP ユーザーアカウントを削除することができます。

手順l isi ndmp users delete コマンドを実行します。

次のコマンドを実行すると、確認メッセージの後に［NDMPuser］という名前のユーザーが削除されます。

isi ndmp users delete NDMPuser

NDMP ユーザーアカウントの表示NDMP ユーザーアカウントに関する情報を表示できます。

手順l isi ndmp users view コマンドを実行します。

次のコマンドを実行すると、NDMPuser という名前のユーザーのアカウントに関する情報が表示されます。

isi ndmp users view NDMPuser

NDMPバックアップデバイスの管理バックアップアクセラレータノードにテープデバイスまたはメディアチェンジャーデバイスを接続した後、デバイスを検出して接続を確立するように OneFS を構成する必要があります。クラスターとバックアップデバイス間に接続が確立された後、クラスターがデバイスに割り当てた名前を変更したり、デバイスをクラスターから切り離すことができます。


NDMP ユーザーアカウントのパスワードの変更 755

デバイスに複数の LUN がある場合は、すべての LUN を適切に検出できるように、LUN0 を構成する必要があります。

NDMPバックアップデバイスの検出バックアップアクセラレータノードにデバイスを接続する場合、OneFS でそのデバイスにデータをバックアップしたり、そのデバイスからデータをリストアする前に、そのデバイスを検出するように OneFS を構成する必要があります。特定のノード、特定のポート、すべてのノードのすべてのポートをスキャンできます。手順l isi tape rescan コマンドを実行します。

次のコマンドは、ノード 18上のデバイスを検出します。

isi tape rescan --node=18

NDMPバックアップデバイスのエントリー名の変更NDMP デバイスのエントリー名を変更できます。

手順l isi tape modify コマンドを実行します。

次のコマンドを実行すると、名前が tape003 から tape005 に変更されます。

isi tape modify tape003 --new-name=tape005

切り離された NDMPバックアップデバイスのデバイスエントリーの削除NDMP デバイスをクラスターから物理的に取り外した場合でも、OneFSはデバイスのエントリーを保持しています。取り外したデバイスのデバイスエントリーは削除することができます。クラスターにまだ物理的に接続されているデバイスのデバイスエントリーを削除することもできます。この場合、OneFSはデバイスから切り離されます。

クラスターに接続されているデバイスのデバイスエントリーを削除し、デバイスを物理的に切り離さない場合、OneFSは次回ポートをスキャンするときにそのデバイスを検出します。現在バックアップ先またはリストア元になっているデバイスのデバイスエントリーを削除することはできません。

手順l 次のコマンドを実行すると、クラスターから tape001 が切断されます。

isi tape delete --name=tape001

NDMPバックアップデバイスの表示現在バックアップアクセラレータノードを通じてクラスターに接続されている、テープデバイスとメディアチェンジャデバイスに関する情報を表示できます。



手順l 次のコマンドを実行して、ノード 18 のテープデバイスをリストします。

isi tape list --node=18 --tape

NDMPのファイバーチャネルポートの管理テープおよびメディアチェンジャーデバイスをバックアップアクセラレータノードに接続するファイバーチャネルポートを管理できます。NDMP ファイバーチャネルポートの設定を有効化、無効化、変更することもできます。

NDMPバックアップポート設定の変更NDMPバックアップポートの設定を変更できます。

手順l isi fc settings modify コマンドを実行します。

次のコマンドを実行すると、ノード 5 のポート 1 がポイントツーポイントのファイバーチャネルトポロジーをサポートするように構成されます。

isi fc settings modify 5.1 --topology=ptp

NDMPバックアップポートの有効化または無効化NDMPバックアップポートを有効または無効にすることができます。

手順l isi fc settings modify コマンドを実行します。

次のコマンドを実行すると、ノード 5 のポート 1 が無効になります。

isi fc settings modify 5.1 --state=disable

次のコマンドを実行すると、ノード 5 のポート 1 が有効になります。

isi fc settings modify 5.1 --state=enable

NDMPバックアップポートの表示クラスターに接続しているバックアップアクセラレータノードのファイバチャネルポートに関する情報を表示できます。


NDMP のファイバーチャネルポートの管理 757

手順l ノード 5 のポート 1 のファイバーチャネルポートの設定を表示するには、次のコマンドを実行しま

す。

isi fc settings view 5.1

NDMPバックアップポートの設定OneFSは、クラスターに接続された各バックアップアクセラレータノードのそれぞれのポートにデフォルト設定を割り当てます。これらの設定は、各ポートを識別し、ポートが NDMPバックアップデバイスと連携する方法を指定します。次の情報が isi fc settings list コマンドの出力に表示されます。Port

バックアップアクセラレータノードの名前とポートの数。

WWNN

ポートのWWNN（World Wide Node Name）。1個のノードの各ポートの名前は、同じです。

WWPN

ポートのWWPN（World Wide Port Name）。この名前は、ポートに対して一意です。

State

ポートが有効か無効かを示します。

Topology

ポートがサポートするように構成されているファイバチャネルトポロジーのタイプ。

Rate

データがポートを介して送信される速度。速度は 1 Gb/秒、2 Gb/秒、4 Gb/秒、8 Gb/秒、自動に設定できます。8 Gb/秒は、A100 ノードでのみ利用できます。自動に設定された場合、OneFSは、DMA と自動的にネゴシエートして、速度を決定します。自動は、推奨設定です。

NDMP優先 IP設定項目の管理ネットワークインターフェイスが複数ある環境で EMC Avamar を使用して NDMP 3方向操作を行う場合、クラスタ全体またはサブネット固有の NDMP優先 IP設定項目の作成、変更、削除、一覧表示、表示を行うことができます。NDMP優先 IP項目は、OneFS コマンドラインインターフェイスを通じてのみ管理できます。

NDMP優先 IP設定の作成EMC Avamar を使用して NDMP 3方向バックアップまたはリストア操作を行っている場合、クラスタ全体またはサブネット固有の NDMP優先 IP設定を作成できます。

手順l NDMP優先 IP設定の作成には、isi ndmp settings preferred-ips

create コマンドを実行します。



たとえば、次のコマンドを実行すると、クラスタに優先 IP設定が適用されます。

isi ndmp settings preferred-ips create cluster groupnet0.subnet0,10gnet.subnet0

次のコマンドを実行すると、サブネットグループに優先 IP設定が適用されます。

isi ndmp settings preferred-ips create 10gnet.subnet0 10gnet.subnet0,groupnet0.subnet0

NDMP優先 IP設定の変更EMC Avamar を使用して NDMP 3方向バックアップまたはリストア処理を行っている場合、サブネットグループを追加または削除することによって、NDMP優先 IP設定を変更することができます。

手順l NDMP優先 IP設定の変更には、isi ndmp settings preferred-ips

modify コマンドを実行します。たとえば、次のコマンドを実行すると、クラスタの NDMP優先 IP設定が変更されます。

isi ndmp settings preferred-ips modify 10gnet.subnet0 --add 10gnet.subnet0,groupnet0.subnet0

次の例のコマンドを実行すると、サブネットの NDMP優先 IP設定が変更されます。

isi ndmp settings preferred-ips modify 10gnet.subnet0 --remove groupnet0.subnet0

NDMP優先 IP設定のリストEMC Avamar を使用して NDMP 3方向バックアップまたはリストア操作を行っている場合、NDMP優先 IP設定をリストすることができます。

手順l NDMP優先 IP設定をリストするには、isi ndmp settings preferred-ips

list コマンドを実行します。たとえば、次のコマンドを実行すると、NDMP優先 IP設定をリストすることができます。

isi ndmp settings preferred-ips list

NDMP優先 IP設定の表示EMC Avamar を使用して NDMP 3方向バックアップまたはリストア処理を行っている場合、サブネットやクラスタの NDMP優先 IP設定を表示することができます。

手順l NDMP優先 IP設定の表示には、 isi ndmp settings preferred-ips view

コマンドを実行します。


NDMP優先 IP設定の変更 759

たとえば、次のコマンドを実行すると、サブネットの NDMP優先 IP設定を表示できます。

isi ndmp settings preferred-ips view 10gnet.subnet0

NDMP優先 IP設定の削除EMC Avamar を使用して NDMP 3方向バックアップまたはリストア操作を行っている場合、サブネットやクラスタの NDMP優先 IP設定を削除できます。

手順l NDMP優先 IP設定を削除するには、 isi ndmp settings preferred-ips

delete コマンドを実行します。たとえば、次のコマンドを実行すると、サブネットの優先 IP設定が削除されます。

isi ndmp settings preferred-ips delete 10gnet.subnet0

NDMP セッションの管理NDMP セッションのステータスを表示したり、進行中のセッションを終了したりすることができます。

NDMP セッションの終了NDMP セッションを終了して、NDMPバックアップまたはリストア操作を中断できます。手順

1. 終了する NDMP セッションの ID を取得するには、isi ndmp sessions list コマンドを実行します。

2. isi ndmp sessions delete コマンドを実行します。次のコマンドを実行すると、ID が 4.36339 の NDMP セッションが終了し、確認プロンプトがスキップされます。

isi ndmp sessions delete 4.36339 --force

NDMP セッションの表示クラスターと DMA（データ管理アプリケーション）の間に存在する NDMP セッションに関する情報を表示できます。手順l isi ndmp sessions view コマンドを実行します。次のコマンドを実行すると、セッション

4.36339 に関する情報が表示されます。

isi ndmp sessions view 4.36339

NDMP セッション情報アクティブな NDMP セッションに関する情報を表示できます。



次の情報が isi ndmp sessions list コマンドの出力に表示されます。セッション

OneFS がセッションに割り当てた固有の識別番号を表示します。

データデータサーバの現在の状態を指定します。

Mover。Data Mover の現在の状態を指定します。

OP

現在進行中の操作のタイプ（バックアップまたはリストア）を指定します。進行中の操作がない場合、このフィールドは空白です。バックアップ操作では、次の詳細情報を使用する場合があります。

B({M} {F} [L[0-10] | T0 | Ti | S[0-10]] {r | R})

各項目の意味は以下のとおりです。[ a ]：a が必要{ a }：aはオプションa | b：a または b、同時に成立しないM：マルチストリームバックアップF：ファイルのリストL：レベルベースT：トークンベースS：スナップショットモードs：スナップショットモードとフルバックアップ（ルートディレクトリが新しい場合）r：再開可能バックアップR：再開されたバックアップ0～10：ダンプレベル

リストア操作では、次の詳細情報を使用する場合があります。

R ({M|s}[F | D | S]{h})

各項目の意味は以下のとおりです。M：マルチストリームリストアs：シングルスレッドリストア（RESTORE_OPTIONS=1 の場合）F：フルリストアD：DAR

S：選択的リストアh：テーブルによるハードリンクのリストア


NDMP セッション情報 761

Elapsed Time

セッション開始後の経過時間を指定します。

Bytes Moved

セッション中に転送されたデータ量をバイト単位で指定します。

Throughput

過去 5分間におけるセッションの平均スループットを指定します。

例 3 NDMPバックアップ/リストア操作

アクティブな NDMPバックアップセッションの例を、前に説明した［OP］設定を通じて示すと、次のようになります。

B(T0): Token based full backupB(Ti): Token based incremental backupB(L0): Level based full backupB(L5): Level 5 incremental backupB(S0): Snapshot based full backupB(S3): Snapshot based level 3 backupB(FT0): Token based full filelist backupB(FL4): Level 4 incremental filelist backupB(L0r): Restartable level based full backupB(S4r): Restartable snapshot based level 4 incremental backupB(L7R): Restarted level 7 backupB(FT1R): Restarted token based incremental filelist backupB(ML0): Multi-stream full backup

アクティブな NDMP リストアセッションの例を、前に説明した［OP］設定を通じて示したのが、次のものです。

R(F): Full restoreR(D): DARR(S): Selective restoreR(MF): Multi-stream full restoreR(sFh): single threaded full restore with restore hardlinks bytable option

NDMP再開可能バックアップの管理NDMP再開可能バックアップは、BRE（再開可能バックアップ拡張機能）とも呼ばれ、DMA（データ管理アプリケーション）で有効化できるバックアップのタイプです。再開可能バックアップが停電などで失敗した場合、失敗した時点に近いチェックポイントからバックアップを再開できます。これとは対照的に、再開可能でないバックアップが失敗した場合、最初のバックアッププロセス中の転送内容に関係なく、すべてのデータを始めからバックアップする必要があります。再開可能バックアップを DMA から有効化した後、再開可能バックアップコンテキストを OneFS から管理できます。これらのコンテキストは、再開可能バックアップを容易にするために OneFS が格納するデータです。各コンテキストは、バックアップが失敗した場合に再開可能バックアッププロセスを戻すことができるチェックポイントを表します。再開可能バックアップセッションごとに 1 つの再開可能バックアップコンテキストのみが可能です。再開可能バックアップコンテキストには、最新のチェックポイントの状態で作業ファイルが含まれています。



再開可能バックアップがサポートされるのは、EMC NetWorker 8.1以降のバージョンとCommVault Simpana の DMA です。

NDMP のマルチストリームバックアップでは、再開可能バックアップ機能はサポートされません。

EMC NetWorker の NDMP再開可能バックアップの構成EMC NetWorkerは、NDMP再開可能バックアップが可能なように構成する必要があり、オプションでチェックポイントインターバルを定義できます。

チェックポイントインターバルを指定しない場合、NetWorkerは、デフォルトインターバルである 5GB を使用します。

手順1. バックアップするクライアントとディレクトリパスを、通常どおり構成します。2. ［Client Properties］ダイアログボックスで、再開可能バックアップを有効化します。

a.［General］ページで、［Checkpoint enabled］チェックボックスをクリックします。 b.［Checkpoint granularity］ドロップダウンリストで、［File］を選択します。

3. ［Application information］フィールドに、指定する NDMP変数を入力します。

次の変数設定は、1 GB のチェックポイントインターバルを指定します。CHECKPOINT_INTERVAL_IN_BYTES=1GB

4. 構成を完了し、［Client Properties］ダイアログボックスで［OK］をクリックします。5. バックアップを開始します。6. 電源障害などのためにバックアップが中断された場合は、バックアップを再開します。

a.［Monitoring］ページの［Groups］リストで、バックアッププロセスを探します。b. バックアッププロセスを右クリックし、コンテキストメニューの［Restart］をクリックします。

NetWorkerは、最後のチェックポイントからバックアップを自動的に再開します。

NDMP再開可能バックアップコンテキストの表示構成済みの NDMP再開可能バックアップコンテキストを表示できます。手順

1. 次のコマンドを実行することで、すべての再開可能バックアップコンテキストをリストします。

isi ndmp contexts list --type bre

2. 特定の再開可能バックアップコンテキストの詳細情報を表示するには、isi ndmpcontexts view コマンドを実行します。次のコマンドは、ID が 792eeb8a-8784-11e2-aa70-0025904e91a4 であるバックアップコンテキストの詳細情報を表示します。

isi ndmp contexts view bre_792eeb8a-8784-11e2-aa70-0025904e91a4


EMC NetWorker の NDMP再開可能バックアップの構成 763

NDMP再開可能バックアップコンテキストの削除NDMP再開可能バックアップコンテキストが不要になった後、DMA（データ管理アプリケーション）は、コンテキストの削除を OneFS に自動的にリクエストします。DMA がリクエストする前に、再開可能バックアップコンテキストを手動で削除できます。

再開可能バックアップコンテキストを手動で削除しないことをお勧めします。再開可能バックアップコンテキストを手動で削除すると、該当する NDMPバックアップを最初から再開する必要があります。

手順l isi ndmp contexts delete コマンドを実行します。

次のコマンドは、ID が 792eeb8a-8784-11e2-aa70-0025904e91a4 である再開可能バックアップコンテキストを削除します。

isi ndmp contexts delete bre_792eeb8a-8784-11e2-aa70-0025904e91a4

NDMP再開可能バックアップ設定の構成OneFS が一度に保持できる再開可能バックアップコンテキストの数を指定できます。コンテキストの最大数は 1024 です。再開可能バックアップコンテキストのデフォルト数は 64 に設定されています。

手順l isi ndmp settings global modify コマンドを実行します。

次のコマンドは、再開可能バックアップコンテキストの最大数を 128 に設定します。

isi ndmp settings global modify --bre_max_num_contexts=128

NDMP再開可能バックアップ設定の表示OneFS が一度に保持する再開可能バックアップコンテキストの現在の制限を表示できます。

手順l 次のコマンドを実行します。

isi ndmp settings global view

NDMP リストア処理NDMPは次のタイプのリストア処理をサポートします。l NDMPパラレルリストア（マルチスレッドプロセス）l NDMP シリアルリストア（シングルスレッドプロセス）



NDMPパラレルリストア処理パラレル（マルチスレッド）リストアにより、データがテープから読み取られるのと同じぐらい高速にデータをクラスターに書き込むことで、フルまたは部分リストア処理を高速化できます。OneFS では、パラレルリストアがデフォルトのリストアメカニズムです。パラレルリストアメカニズムにより、複数のファイルを同時にリストアできます。

NDMP シリアルリストア処理トラブルシューティングまたはその他の目的で、より少ないシステムリソースを使用するシリアルリストア処理を実行できます。シリアルリストア処理はシングルスレッドプロセスとして実行されます。この処理では、一度に 1 ファイルが指定したパスにリストアされます。

NDMP シリアルリストア処理の指定RESTORE_OPTIONS環境変数を使用して、シリアル（シングルスレッド）リストア処理を指定できます。手順

1. データ管理アプリケーションで、通常どおりにリストア処理を構成します。2. データ管理アプリケーションで RESTORE_OPTIONS環境変数が 1 に設定されていることを

確認します。RESTORE_OPTIONS環境変数がまだ 1 に設定されていない場合は、OneFS コマンドラインから isi ndmp settings variables modify コマンドを指定します。次のコマンドでは、/ifs/data/projects ディレクトリのシリアルリストアを指定しています。

isi ndmp settings variables modify /ifs/data/projects RESTORE_OPTIONS 1

［path］オプションの値は、バックアップ操作中に設定された FILESYSTEM環境変数に一致している必要があります。［name］オプションに指定する値は大文字と小文字が区別されます。

3. リストア処理を開始します。

デフォルトの NDMP変数の管理OneFS では、デフォルトの NDMP環境変数を指定して、NDMPバックアップおよびリストア作業を管理できます。すべてのバックアップおよびリストア処理や、特定のパスの NDMP環境変数を指定することができます。［"/BACKUP"］にパスを設定すると、環境変数はすべてのバックアップ処理に適用されます。同様に、［"/RESTORE"］にパスを設定すると、すべてのリストア処理に環境変数が適用されます。DMA（データ管理アプリケーション）を通じて、デフォルトの NDMP環境変数を上書きできます。DMA を通じた NDMP環境変数の指定の詳細については、該当する DMA のドキュメントを参照してください。

パスのデフォルトの NDMP変数設定の指定パスのデフォルトの NDMP変数設定を指定できます。


NDMPパラレルリストア処理 765

手順1. EMC Isilon クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。

2. isi ndmp settings variables create コマンドを実行して、デフォルトのNDMP変数を設定します。

たとえば、次のコマンドを実行すると、/ifs/data/media に対してスナップショットベースの増分バックアップが有効化されます。

isi ndmp settings variables create /ifs/data/media BACKUP_MODE SNAPSHOT

パスのデフォルトの NDMP変数設定の変更パスのデフォルトの NDMP変数設定を変更できます。手順

1. EMC Isilon クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。

2. isi ndmp settings variables modify コマンドを実行して、デフォルトのNDMP変数設定を変更します。

たとえば、次のコマンドを実行すると、デフォルトのファイルヒストリ形式が/ifs/data/media のパスベースの形式に設定されます。

isi ndmp settings variables modify /ifs/data/media HIST F

3. (オプション) パスのデフォルトの NDMP変数設定を削除するには、isi ndmpsettings variables delete コマンドを実行します。たとえば、次のコマンドを実行すると、/ifs/data/media のデフォルトのファイルヒストリ形式が削除されます。

isi ndmp settings variables delete /ifs/data/media --name=HIST

［--name］オプションを指定しない場合、指定されたパスのすべての変数が確認後に削除されます。

パスのデフォルト NDMP設定の表示パスのデフォルトの NDMP設定を表示できます。手順




2. 次のコマンドを実行して、デフォルトの NDMP設定を表示します。

isi ndmp settings variables list

NDMP環境変数NDMP環境変数によって、NDMPバックアップ/リカバリ処理のデフォルト設定を指定できます。NDMP環境変数は、DMA（データ管理アプリケーション）で指定することもできます。

環境変数を直接設定し OneFS に反映できるのは、Symantec NetBackup および EMCNetWorker の 2 つの DMA のみです。

表 6 NDMP環境変数

環境変数指定可能な値デフォルト説明BACKUP_FILE_LIST ［<file-path>］なしファイルリストバックアップをトリ

ガーします。現在、OneFS には EMC

Networker およびSymantec NetBackup のみが環境変数を渡すことができます。

BACKUP_MODE ［TIMESTAMP］［SNAPSHOT］

［TIMESTAMP］

スナップショットベースの増分バックアップを有効または無効にします。スナップショットベースの増分バックアップを有効化するには、［SNAPSHOT］を指定します。

BACKUP_OPTIONS ［0x00000100］

［0x00000200］［0x00000400］［0x00000001］［0x00000002］［0x00000004］

［0］この環境変数は、CloudPools SmartLink ファイルを含むデータセットのみに固有です。バックアップの動作を制御します。0

変更されたキャッシュデータをバックアップします。

［0x00000100］SmartLink ファイルデータをクラウドから読み取り、SmartLink ファイルを通常のファイルとしてバックアップします。

［0x00000200］ -

SmartLink ファイルに格納されているすべてのキ


NDMP環境変数 767

表 6 NDMP環境変数（続き）

環境変数指定可能な値デフォルト説明

ャッシュデータをバックアップします。

［0x00000400］SmartLink ファイルに格納されているデータをリコールしてバックアップします。

［0x00000001］バックアップ操作の終了時に、環境変数のリストに DUMP_DATE情報を常に追加します。DUMP_DATE値は、バックアップスナップショットが取得された時刻です。DMAは、次回のバックアップ操作のBASE_DATE の設定に、DUMP_DATE値を使用できます。

［0x00000002］トークンベースバックアップのバックアップスナップショットは、dumpdates ファイルに保存されます。トークンベースバックアップにはレベルがないため、デフォルトでレベル 10 に設定されます。トークンベースバックアップが完了すると、スナップショットは次回の増分バックアップに高速増分バックアップを行います。

［0x00000004］前回のスナップショットを保存します。高速増分バックアップが完了すると、以前のスナップショットがレベル 10 で保存されます。同じレベルのスナップショットが 2 つの存在するのを回避するために、以前のスナップショッ





トはレベルを低くしてdumpdates ファイルに保存されます。これにより、BASE_DATE とBACKUP_MODE=

［snapshot］設定は、トークンベースバックアップではなく、高速増分バックアップをトリガーできます。NDMP サーバは、環境変数設定に基づいて、以前のバックアップを検索するために、BASE_DATE値をdumpdates ファイルのタイムスタンプと比較することを要求します。DMA

が最新の高速増分バックアップに失敗しても、OneFSは以前のスナップショットを保存します。DMAは、以前のバックアップの BASE_DATE値を使用して、次回のバックアップサイクルで高速増分バックアップを再試行できます。

BASE_DATE トークンベースの増分バックアップを有効にします。この場合、dumpdates ファイルは更新されません。

DIRECT ［Y］［N］

［N］ DAR（Direct Access

Restore）と DDAR（ディレクトリ DAR）を有効化または無効化します。次の値が有効です。

［Y］DAR と DDAR を有効化する。

［N］DAR と DDAR を無効化する。

EXCLUDE ［<file-matching-

pattern>］なしこのオプションを指定すると、

OneFSは指定したパターンに





該当するファイルとディレクトリのみをバックアップしません。複数のパターンの区切りにはスペースを使用します。

FILES ［<file-matching-

pattern>］なしこのオプションを指定すると、

OneFSは指定したパターンに該当するファイルとディレクトリのみをバックアップします。複数のパターンの区切りにはスペースを使用します。

一般に、ファイルは最初に照合された後、EXCLUDEパターンが適用されます。

HIST ［<file-history-

format>］［Y］ファイルヒストリの形式を指定

します。次の値が有効です。

［D］ディレクトリまたはノードのファイルヒストリを指定する。

［F］パスベースのファイルヒストリを指定する。

［Y］NDMPバックアップ設定によって決定されるデフォルトのファイルヒストリ形式を指定する。

［N］ファイルヒストリを無効化する。

LEVEL ［<integer>］［0］実行する NDMPバックアップのレベルを指定します。次の値が有効です。

［0］NDMP によるフルバックアップを実行する。





［1 - 9］指定されたレベルで増分バックアップを実行する。

［10］増分永続バックアップを実行する。

MSB_RETENTION_PERIOD 整数 300秒バックアップコンテキストの保存期間を指定します。

MSR_RETENTION_PERIOD 0～60*60*24 600秒リカバリセッションの再試行を行うことができる、リカバリコンテキストの保存期間を指定します。

RECURSIVE ［Y］［N］

［Y］バックアップセッションが再帰的であることを指定します。

RESTORE_BIRTHTIME ［Y］［N］

［N］リカバリセッションの出生時刻をリカバリするかどうかを指定します。

RESTORE_HARDLINK_BY_TABLE

［Y］［N］

［N］シングルスレッドのリストアセッションに対しては、リカバリ処理でハードリンクテーブルを作成することによって、OneFS でハードリンクをリカバリするかどうかを指定します。ハードリンクのバックアップに問題があり、リカバリ処理が失敗する場合には、このオプションを指定します。ハードリンクのバックアップに問題があるためにリカバリ処理が失敗する場合、NDMPバックアップログに次のメッセージが表示されます。

Bad hardlink path for <path>

この変数は、パラレルリストア処理では効果的ではありません。

RESTORE_OPTIONS ［0］［1］

［0］デフォルトでは、リストア処理はパフォーマンスを向上させるた





［0x00000002］［0x00000004］

めにマルチスレッド化されています。リストア処理をシングルスレッドに変更するには、RESTORE_OPTIONS=1 を指定します。以下のオプションは、パラレルリストアの場合にのみ該当します。0

リストア処理は既存のディレクトリの権限を上書きしません。

［0x00000002］リストア処理で、リストアストリームからの情報を使用して既存のディレクトリの権限を上書きするよう強制します。このオプションは、nlist にあるディレクトリにのみ適用可能です。

［0x00000004］OneFS 8.0.0 より前のリリースでは、リストア処理中に作成された中間ディレクトリにはデフォルトの権限が設定されます。OneFS 8.0.0以降のリリースでは、中間ディレクトリの権限は、そのディレクトリ内で最初にリストアされたファイルと同じです。［0x00000004］では以前のリストア方法に戻り、中間ディレクトリの権限を 0700 に設定し、UID と GID を 0 に設定します。

UPDATE ［Y］［N］

［Y］ OneFS によってdumpdates ファイルを更新するかどうかを指定します。

［Y］OneFS がdumpdates ファイルを更新します。





［N］OneFSはdumpdates ファイルを更新しません。

バックアップ/リストア処理のための環境変数の設定環境変数を設定して、NDMP セッションのバックアップ/リストア処理をサポートすることができます。

環境変数は、DMA（データ管理アプリケーション）またはコマンドラインインターフェイスで設定します。また、グローバル環境変数を設定することもできます。バックアップ/リストア処理設定への適用優先順位は次のとおりです。l DMA を使用して指定された環境変数が最も高い優先順位を持つ。l isi ndmp settings variables によって指定されたパス固有の環境変数が次に高

い優先順位を持つ。l ［"/BACKUP"］または［"/RESTORE"］のグローバル環境変数設定の優先順位が最も低

くなる。環境変数を設定して、次のようにさまざまなタイプのバックアップ操作をサポートすることができます。l BASE_DATE環境変数が任意の値に設定されており、BACKUP_MODE環境変数が［SNAPSHOT］に設定されている場合は、LEVEL環境変数は自動的に［10］に設定され、増分永続バックアップが実行される。

l BASE_DATE環境変数が［0］に設定されている場合は、フルバックアップが実行される。l BACKUP_MODE環境変数が［snapshot］に設定されている場合に BASE_DATE環境

変数が［0］に設定されていないと、dumpdates ファイルのエントリーが読み取られ、BASE_DATE環境変数と比較される。エントリーと以前の有効なスナップショットの両方が存在する場合は、増分バックアップはさらに高速に実行される。

l BACKUP_MODE環境変数が［snapshot］に設定されている場合に BASE_DATE環境変数が［0］に設定されていないか、dumpdates ファイルにエントリーがなくかつ以前の有効なスナップショットもない場合は、BASE_DATE環境変数の値を使用してトークンベースのバックアップが実行される。

l BASE_DATE環境変数が設定されている場合、BACKUP_OPTIONS環境変数はデフォルトで 0x00000001 に設定される。

l BACKUP_MODE環境変数が［snapshot］に設定されている場合、BACKUP_OPTIONS環境変数はデフォルトで［0x00000002］に設定される。

l BACKUP_OPTIONS環境変数が［0x00000004］に設定されている場合、バックアッププロセスを使用するアプリケーションがスナップショットを保存して管理する。

l 高速増分バックアップで増分永続バックアップを実行するには、次の環境変数を設定する必要がある。n BASE_DATE=［<time>］


バックアップ/リストア処理のための環境変数の設定 773

n BACKUP_MODE=［snapshot］n BACKUP_OPTIONS=［7］

スナップショットベースの増分バックアップの管理スナップショットベースの増分バックアップを有効化した後で、これらのバックアップに対して作成されたスナップショットを表示および削除できます。

ディレクトリのスナップショットベースの増分バックアップの有効化デフォルトでディレクトリのスナップショットベースの増分バックアップを実行するように OneFS を構成できます。DMA（データ管理アプリケーション）のデフォルト設定を上書きすることもできます。

手順l isi ndmp settings variable create コマンドを実行します。

次のコマンドを実行すると、/ifs/data/media に対してスナップショットベースの増分バックアップが有効化されます。


スナップショットベースの増分バックアップのスナップショットの削除スナップショットベースの増分バックアップに対して作成されたスナップショットを削除できます。

スナップショットベースの増分バックアップに対して作成されたスナップショットは削除しないことをお勧めします。パスのすべてのスナップショットが削除されると、パスに対して次に実行されるバックアップはフルバックアップになります。

手順1. ［Data Protection］ > ［NDMP］ > ［Environment Settings］の順にクリックします。

2. ［Dumpdates］テーブルで、削除するエントリーの［Delete］をクリックします。3. ［Confirm Delete］ダイアログボックスで、［Delete］をクリックします。

スナップショットベースの増分バックアップのスナップショットの表示スナップショットベースの増分バックアップに対して生成されたスナップショットを表示できます。手順

1. ［Data Protection］ > ［NDMP］ > ［Environment Settings］の順にクリックします。

2. ［Dumpdates］テーブルに、スナップショットベースの増分バックアップに関する情報が表示されます。



NDMPバックアップログの表示NDMPバックアップログで NDMPバックアップとリストア処理についての情報を表示できます。手順

1. 次のコマンドを実行し、/var/log/isi_ndmp_d ディレクトリの内容を表示します。

more /var/log/isi_ndmp_d

NDMPバックアップコマンドNetwork Data Management Protocol（NDMP）のバックアップは、NDMPバックアップコマンドを使用して制御できます。

isi ndmp users create

新規 NDMP ユーザーを作成します。

構文

isi ndmp users create ［<name>］ [--password ［<string>］]


ユーザーの名前。

--password［<string>］新しい NDMP ユーザーのパスワード。パスワードを指定しない場合、新しいユーザーはパスワードの入力を求められ、さらにパスワードを再入力して確認するよう求められます。指定したユーザーがすでに存在する場合、このコマンドは失敗します。

例次のコマンドを実行すると、ユーザー名が［ndmp_user］、パスワードが［1234］の NDMP ユーザーアカウントが作成されます。

isi ndmp users create ndmp_user --password=1234

isi ndmp users delete

指定した NDMP ユーザーを削除します。

構文

isi ndmp users delete ［<name>］ [--force] [--verbose]


NDMPバックアップログの表示 775


削除する NDMP ユーザーの名前。

{--force | -f}


{verbose | -v}


isi ndmp users list

すべての NDMP ユーザーをリストします。

構文

isi ndmp users list[--format {table | json | csv | list}][--no-header][--no-footer]



{--no-header | -a}


{--no-footer | -z}


例このコマンドによって作成された出力の例を次に示します。

Name----------ndmp_nickndmp_lisandmp_jason----------Total: 3

isi ndmp users modify

指定した NDMP ユーザーのパスワードを変更します。

構文

isi ndmp users delete ［<name>］[--password ［<string>］]




変更する NDMP ユーザーの名前。

--password［<string>］変更する NDMP ユーザーのパスワード。パスワードを指定しない場合、ユーザーはパスワードの入力を求められ、さらにパスワードを再入力して確認するよう求められます。

isi ndmp users view

特定の NDMP ユーザーを表示します。

構文

isi ndmp users view ［<name>］ [--format {list | json}]

出力［<name>］

NDMP ユーザーの名前。


NDMP ユーザーを指定した形式でリストします。

例［ndmp_lisa］という名前の NDMP ユーザーと指定された JSON形式により、このコマンドで作成された出力の例を次に示します。

[{"id": "ndmp_lisa", "name": "ndmp_lisa"}]

isi ndmp contexts delete

NDMP コンテキストを削除します。

構文

isi ndmp contexts delete ［<id>］ [--force] [--verbose]


コンテキスト ID文字列。

{--force | -f}


{verbose | -v}



isi ndmp users view 777

isi ndmp contexts list

NDMP コンテキストを一覧表示します。

構文

isi ndmp contexts list[--type {bre | backup | restore}][--format {table | json | csv | list}]

オプション{--type | -t} {bre | backup | restore}

指定されたレベルのエントリー、BRE（再開可能バックアップ拡張機能）、バックアップ、リストアを表示します。



isi ndmp contexts view

NDMP コンテキストの詳細情報を表示します。

構文

isi ndmp contexts view ［<id>］[--format {list | json}


コンテキスト ID文字列。


NDMP コンテキストを指定した形式でリストします。

isi ndmp dumpdates delete

スナップショットベースの NDMP増分バックアップ用に作成されたスナップショットを削除します。

構文

isi ndmp dumpdates delete ［<path>］[--level ［<integer>］][--force][--verbose]


NDMP ダンプ日付のパス。/ifs ディレクトリ構造内にある必要があります。



--level［<integer>］特定のディレクトリの指定されたレベルのバックアップのダンプ日付エントリーを削除します。このオプションを指定しないと、特定のディレクトリのすべてのダンプ日付エントリーが削除されます。

例次のコマンドを実行すると、/ifs/data/media のレベル 0 のバックアップのダンプ日付エントリーが削除されます。

isi ndmp dumpdates delete /ifs/data/media --level=0

isi ndmp dumpdates list

スナップショットベースの NDMP増分バックアップ用に作成されたスナップショットを表示します。

構文

isi ndmp dumpdates list[--path ［<path>］][--level ［<integer>］][--limit ［<integer>］][--sort {path | level}][--descending][--format {table | json | csv | list}][--no-header][--no-footer][--verbose]

オプション--path［<path>］

NDMP ダンプ日付のパス。/ifs ディレクトリ構造にある必要があります。

--level［<integer>］特定のディレクトリパスの指定されたレベルのバックアップのダンプ日付エントリーを表示します。

{--limit | -l}［<integer>］表示する NDMP ダンプ日付の数。

--sort {path | level}

指定したフィールドでデータをソートします。

{--descending | -d}



NDMP ダンプ日付をテーブル（デフォルト）、JSON（JavaScript Object Notation）、CSV（コンマ区切り値）、リスト形式で表示します。

{--no-header | -a}


{--no-footer | -z}



isi ndmp dumpdates list 779

{--verbose | -v}


例NDMP のダンプ日付エントリーを表示するには、次のコマンドを実行します。

isi ndmp dumpdates list


Date Level SnapID Path----------------------------------------------------------------------Fri May 29 12:06:26 2015 0 18028 /ifs/tmp/backupFri May 29 12:20:56 2015 1 18030 /ifs/tmp/backup

スナップショットがスナップショットベースではない増分バックアップに対して作成されたものである場合、スナップショット IDは 0 です。

isi ndmp sessions delete

NDMP セッションを停止します。

構文

isi ndmp sessions delete ［<session>］ [--force] [--verbose]

オプション［<session>］

NDMP セッションの識別子セッション IDは、<lnn>.<pid>などのように、LNN（論理ノード番号）とその後に続く小数点および PID（プロセス ID）で構成されます。

{--force | -f}


{verbose | -v}


例次のコマンドを実行すると、セッション ID が 4.36339 の NDMP セッションが終了します。

isi ndmp sessions delete 4.36339

isi ndmp sessions list

すべてのまたは指定された NDMP セッションをリストします。

構文

isi ndmp sessions list [--node ［<integer>］]



[--session ［<string>］] [--consolidate} [--limit ［<integer>］] [--format {table | json | csv | list}] [--no-header] [--no-footer] [--verbose]

オプション{--node | -n} ［<integer>］

指定したノードのセッションだけが表示されます。

{--session | -s} ［<string>］NDMP セッションの識別子。セッション IDは、<lnn>.<pid>などのように、LNN（論理ノード番号）とその後に続く小数点および PID（プロセス ID）で構成されます。

{--consolidate | -c}

マルチストリームコンテキストのセッションを統合します。

{--limit | -l} ［<integer>］表示する NDMP セッションの数。



{--no-header | -a}


{--no-footer | -z}


{verbose | -v}


isi ndmp sessions view

NDMP セッションに関する詳細情報を表示します。

構文

isi ndmp sessions view ［<session>］ [--probe] [--format {list | json}]

オプション［<session>］

NDMP セッションの識別子。セッション IDは、<lnn>.<pid>などのように、LNN（論理ノード番号）とその後に続く小数点および PID（プロセス ID）で構成されます。

--probeNDMP セッションに関するプローブ情報を表示します。


isi ndmp sessions view 781


NDMP セッションの情報をリストまたは JSON形式で表示します。

isi ndmp settings diagnostics modify

NDMP診断設定を変更します。

構文

isi ndmp settings diagnostics modify [--diag-level ［<integer>］] [--protocol-version ［<integer>］] [--trace-level {none | standard | include-file-history | log-file-history}]

オプション--diag-level［<integer>］

NDMP の診断レベル。

--protocol-version［<integer>］NDMP プロトコルバージョン（3 または 4）。

--trace-level {none | standard | include-file-history | log-file-history}

NDMP トレースログレベル。ログなしには none、NDMP プロトコルのトレースにはstandard、ファイル履歴情報をトレースファイルに記録するには include-file-history、ファイル履歴をファイル履歴ログに記録するには log-file-history を選択します。

isi ndmp settings diagnostics view

NDMP診断設定を表示します。

構文

isi ndmp settings diagnostics view [--format {list | json}]


NDMP診断設定の情報をリストまたは JSON形式で表示します。

isi ndmp settings global modify

NDMP グローバル設定を変更します。

構文

isi ndmp settings global modify [--service {true | false}]



[--dma {generic | atempo | bakbone | commvault | emc | symantec | tivoli | symantec-netbackup | symantec-backupexec}] [--port ［<integer>］] [--bre-max-num-contexts ［<integer>］] [--msb-context-retention-duration ［<integer>］] [--msr-context-retention-duration ［<integer>］]

オプション{--service | -s} {yes | no}

NDMP サービスを有効または無効にします。

{--dma | -d} {generic | atempo | bakbone | commvault | emc | symantec |tivoli | symantec-netbackup | symantec-backupexec}

NDMP セッションを制御する DMA（データ管理アプリケーション）。

{--port | -p} ［<integer>］NDMP デーモンが着信接続をリスンする TCP/IP ポート番号を設定します。デフォルトポートは 10000 です。

--bre-max-num-contexts［<integer>］再開可能バックアップコンテキストの最大数を設定します。システムの最大制限は 1024、デフォルトは 64 です。再開可能バックアップを無効にするには、このオプションをゼロ（0）に設定します。

--msb-context-retention-duration［<integer>］マルチストリームバックアップコンテキストの保存期間を設定します。YMWDHms整数形式で期間を表します。デフォルトの期間は 5m（5分）です。

--msr-context-retention-duration［<integer>］マルチストリームリストアコンテキストの保存期間を設定します。YMWDHms整数形式で期間を表します。デフォルトの期間は 10m（10分）です。

isi ndmp settings global view

NDMP グローバル設定を表示します。

構文

isi ndmp settings global view [--format {list | json}]


NDMP グローバル設定をリストまたは JSON形式で表示します。


Service: True Port: 10000


isi ndmp settings global view 783

Dma: emc Bre Max Num Contexts: 64Msb Context Retention Duration: 300Msr Context Retention Duration: 600

isi ndmp settings preferred-ips create

EMC Avamar を使用して実行する NDMP 3方向処理について、NDMP優先 IP設定項目を作成します。

構文

isi ndmp settings preferred-ips create <scope> <data-subnets> <subnets> [{--help | -h}]

オプション<scope>

優先 IP設定項目の範囲を指定します。この範囲によって、3方向 NDMPバックアップまたはリストア操作中に優先されるデータサブネットの下に IP を一覧表示する際の条件が決定されます。この範囲は、NDMP リクエストを受信しているサブネットでも、クラスタ全体で優先される場合のクラスタでもかまいません。サブネット範囲と［クラスタ］の範囲に設定可能な優先度はそれぞれ 1 つまでです。

<data-subnets><subnets>flexnet サブネット名のリストをコンマ区切りで指定します。ここでは、（バックアップ中の）送信データまたは（リストア中の）受信データに対して、サブネット内の IP が優先されます。data-subnets の下にリストされたサブネットの順序に従って、IP アドレスのリストが並べ替えられます。リストされているデータのサブネットに IP がある場合、その IPはリストの最上部に配置されます。IP がひとつもサブネットに属していない場合、データサブネット内にサブネットを指定しても意味はありません。優先度は、scopeパラメーターで指定された条件のもとでのみ適用されます。scope と data-subnets の値は、同じサブネットに設定できます。この場合、受信データが同じサブネットに届くため、NDMP の送信データにそのサブネットが使用されます。たとえば、範囲が groupnet0.subnet0,で data-subnets の値が10gnet.subnet0,globalnet0.subnet0、バックアップ操作の NDMP データがgroupnet0.subnet0 を経由して届く場合、10gnet.subnet0 の IP がリストの最上部に配置されます。ただし、その IP が使用できない場合は、globalnet0.subnet0 のIP がリストの最上部に配置されます。サブネット名は常にコンマで区切る必要があります。

--help | -hこのコマンドのヘルプを表示します。

isi ndmp settings preferred-ips delete

EMC Avamar を使用して実行する NDMP 3方向処理について、NDMP優先 IP設定項目を削除します。



構文

isi ndmp settings preferred-ips delete <scope> [{--help | -h}]


優先 IP設定項目の範囲です。クラスタに値を設定してクラスタ全体を範囲とする優先 IP を設定することも、OneFS で構成されたサブネット（groupnet0.mysubnet1など）を選択することもできます。


isi ndmp settings preferred-ips list

EMC Avamar を使用して実行する NDMP 3方向処理について、すべての NDMP優先 IP設定項目を一覧表示します。

構文

isi ndmp settings preferred-ips list [{--limit | -l} ［<integer>］] [--format (table | json | csv | list)] [{--no-header | -a}] [{--no-footer | -z}] [{--verbose | -v}] [{--help | -h}]

オプション--limit |-l<integer>

表示する NDMP優先 IP設定項目の数。

--format (table | json | csv | list)

NDMP優先 IP設定項目を、表、JSON、CSV またはリスト形式で表示します。

--no-header | -aヘッダーは CSV および表形式で表示されません。

--no-footer | -z表サマリーのフッター情報を表示しません。

--verbose | -v追加の詳細を表示します。

isi ndmp settings preferred-ips modify

EMC Avamar を使用して実行する NDMP 3方向処理について、既存の NDMP優先 IP設定項目を変更します。


isi ndmp settings preferred-ips list 785

構文

isi ndmp settings preferred-ips modify <scope> [--data-subnets <subnet> | --add-data-subnets <subnet> | --remove-data-subnets <subnet>] [{--verbose | -v}] [{--help | -h}]


NDMP優先 IP設定項目の範囲です。クラスタに値を設定してクラスタ全体を範囲とする優先 IP を設定することも、OneFS で構成されたサブネット（groupnet0.mysubnet1など）を選択することもできます。

--data-subnets<subnet>ネットワークサブネットの値。その他の指定したいネットワークサブネットそれぞれに、--data-subnets の値を指定します。サブネット名は、コンマで区切る必要があります。

--add-data-subnets<subnet>ネットワークサブネットを追加します。追加したいネットワークサブネットそれぞれに--add-data-subnets を指定します。サブネット名は、コンマで区切る必要があります。

--remove-data-subnets<subnet>ネットワークサブネットを削除します。削除したいネットワークサブネットそれぞれに--remove-data-subnets を指定します。サブネット名は、コンマで区切る必要があります。

--verbose | -v追加の詳細を表示します。


isi ndmp settings preferred-ips view

EMC Avamar を使用して実行する NDMP 3方向処理について、NDMP優先 IP設定項目の詳細を表示します。

構文

isi ndmp settings preferred-ips view <scope> [--format (list | json)] [{--help | -h}]


NDMP優先 IP設定項目の範囲です。cluster を値に設定してクラスタ全体を範囲とする優先 IP を設定することも、OneFS で構成されたサブネット（groupnet0.mysubnet1など）を選択することもできます。

--format (list | json)

NDMP優先 IP設定項目を、リスト形式または JSON形式で表示します。



isi ndmp settings variables create

指定されたパスに NDMP環境変数のデフォルト値を設定します。

構文

isi ndmp settings variables create ［<path>］［<name>］［<value>］

使用可能な環境変数のリストについては、「NDMP環境変数」を参照してください。


デフォルトの NDMP環境変数の値を指定したパスに適用します。ディレクトリパスは/ifs内にある必要があります。

［<name>］定義する NDMP環境変数を指定します。

［<value>］NDMP環境変数に適用する値を指定します。

例次のコマンドを実行すると、/ifs/data/media に対するスナップショットベースの増分バックアップがデフォルトで有効化されます。


isi ndmp settings variables delete

特定のパスの NDMP環境変数のデフォルト値を削除します。

構文

isi ndmp settings variables delete ［<path>］ [--name ［<string>］]

オプション使用可能な環境変数のリストについては、「NDMP環境変数」を参照してください。［<path>］

デフォルトの NDMP環境変数を指定されたパスに適用します。これは、/ifs内の有効なディレクトリパスである必要があります。

--name［<variable>］削除する変数の名前。変数名を指定しない場合、指定されたパスのすべての環境変数が削除されます。このオプションを指定しないと、特定のディレクトリに対するすべての NDMP環境変数のデフォルト値が削除されます。


isi ndmp settings variables create 787

例次のコマンドを実行すると、/ifs/data/media に対する NDMP のすべてのデフォルト設定が削除されます。

isi ndmp settings variables delete /ifs/data/media

次のコマンドを実行すると、/ifs/data/media のバックアップに対するデフォルトのファイルヒストリ設定が削除されます。

isi ndmp settings variables delete /ifs/data/media --name HIST

isi ndmp settings variables list

すべての優先 NDMP環境変数をリストします。

構文

isi ndmp settings variables list[--path ［<path>］][--format {table | json | csv | list}][--no-header][--no-footer]

オプション--path［<path>］

デフォルトの NDMP環境変数を指定されたパスに適用します。



{--no-header | -a}


{--no-footer | -z}


isi ndmp settings variables modify

指定されたパスの NDMP環境変数のデフォルト値を変更します。

構文

isi ndmp settings variables modify ［<path>］［<name>］［<value>］

オプション使用可能な環境変数のリストについては、「NDMP環境変数」を参照してください。［<path>］

デフォルトの NDMP環境変数を指定されたパスに適用します。これは、/ifs内の有効なディレクトリパスである必要があります。



［<name>］定義する NDMP環境変数を指定します。

［<value>］NDMP環境変数に適用する値を指定します。

isi fc settings list

ファイバーチャネルポートの設定をリストします。

構文

isi fc settings list [--format {table | json | csv | list}] [--no-header]


ファイバーチャネルポートの設定を表、JSON、CSV、リスト形式で表示します。

{--no-header | -a}]


例次のコマンドを実行すると、ノード 5 のすべてのポートが表示されます。

isi fc settings list


Port WWNN WWPN State Topology Rate 5:1 2000001b3214ccc3 2100001b3214ccc3 enabled auto auto 5:2 2000001b3234ccc3 2101001b3234ccc3 enabled auto auto 5:3 2000001b3254ccc3 2100001b3254ccc3 enabled auto auto 5:4 2000001b3234ccc3 2103001b3274ccc3 enabled auto auto

isi fc settings modify

特定のポートのファイバーチャネルの設定を変更します。

構文

isi fc settings modify ［<port>］ [--wwnn ［<string>］] [--wwpn ［<string>］] [--state {enable | disable}] [--topology {auto | loop | ptp}] [--rate {auto | 1 | 2 | 4 | 8}]

オプション--wwnn［<string>］

ポートのWWNN（World Wide Nord Name）を 16進形式の文字列として指定します。


isi fc settings list 789

--wwpn［<string>］ポートのWWPN（World Wide Port Name）を 16進形式の文字列として指定します。

--state {enable | disable}

ポートを有効にするか無効にするかを指定します。

--topology {auto | loop | ptp}

ポートに使用されるファイバチャネルトポロジーの種類を指定します。次の設定が有効です。［auto］

ポートはトポロジーを自動的に検出します。推奨される設定です。ファブリックトポロジーを使用している場合は、この設定を指定します。

［loop］ポートはアービトレート型ループトポロジーを使用し、複数のバックアップデバイスが循環構成で 1 つのポートに接続されます。

［ptp］ポートはポイントツーポイントトポロジーを使用し、1 つのバックアップデバイスまたはファイバチャネルスイッチが直接接続されます。

--rate {auto | 1 | 2 | 4 | 8}

OneFS がポートを通してデータ送信を試みるレートを指定します。次のレートが有効です。［auto］

OneFSは自動的に DMA とネゴシエートして、レートを決定します。推奨される設定です。

［1］毎秒 1 Gb の速度でポートからのデータ送信を試みます。




isi fc settings view

特定のファイバーチャネルポートの設定を表示します。

構文

isi fc settings view ［<port>］ [--format {list | json}]

オプション［<port>］



<lnn>.<fc port>形式のファイバーチャネルポートの ID。


ファイバーチャネルポートの設定をリストまたは JSON形式で表示します。

isi tape delete

クラスターのバックアップアクセラレータノードに現在接続されている NDMP テープまたはメディアチェンジャーデバイスからクラスターを切断します。

構文

isi tape delete[--name ［<string>］][--all][--force][--verbose]

オプション--name［<string>］

NDMP テープまたはメディアチェンジャーデバイスの名前。

--allすべてのデバイスからクラスターを切断します。

{--force | -f}


{--verbose | -v}


例次のコマンドを実行すると、クラスターから［tape001］が切断されます。

isi tape delete tape001

isi tape list

クラスターに現在接続されている NDMP デバイスのリストを表示します。

構文

isi tape list[--node ［<lnn>］][--tape][--mc][--activepath][--format {table | json | csv | list}][--no-header]

[--no-footer][--verbose]


isi tape delete 791

オプション--node［<lnn>］

指定した論理ノード番号（LNN）のノードに接続されているデバイスだけが表示されます。

--tapeテープデバイスだけを表示します。

--mcメディアチェンジャデバイスだけを表示します。

--activepathデバイスのアクティブパスのみを表示します。


表、JSON、CSV、リスト形式でデバイスを表示します。

{--no-header | -a}


{--no-footer | -z}


{--verbose | -v}


例次のコマンドを実行すると、すべての NDMP デバイスのリストが表示されます。

isi tape list

isi tape modify

テープまたはメディアチェンジャーデバイスの名前または状態を変更します。

構文

isi tape modify ［<name>］ [--new-name ［<string>］] [--close-device]


現在のデバイス名。

--new-name［<string>］新しいデバイスの名前。

--close-device



現在デバイスが開いている場合、デバイスの状態を強制的に閉じます。NDMP セッションが予期せず停止すると、テープデバイスまたはメディアチェンジャーデバイスが開いたままになり、デバイスを再度開くことができなくなる場合があります。

isi tape rescan

バックアップアクセラレータノードに接続されている未検出の NDMPバックアップデバイスを、ファイバーチャネルポートでスキャンします。スキャンで新しいデバイスが検出された場合、クラスターは新しいデバイスのエントリーを作成します。

構文

isi tape rescan [--node ［<lnn>］] [--port ［<integer>］] [--reconcile]

オプションオプションを指定しないと、すべてのノードとポートがスキャンされます。--node［<lnn>］

指定した論理ノード番号（LNN）のノードだけがスキャンされます。

--port［<integer>］指定したポートだけがスキャンされます。--node を指定すると、指定したノードの指定したポートだけがスキャンされます。--node を指定しないと、すべてのノードの指定したポートがスキャンされます。

--reconcileアクセスできなくなったデバイスまたはパスのエントリーを削除します。

例次のコマンドを実行すると、NDMP デバイスのクラスター全体がスキャンされて、アクセスできなくなったデバイスおよびパスのエントリーが削除されます。

isi tape rescan --reconcile

isi tape view

テープまたはメディアチェンジャーデバイスに関する情報を表示します。

構文

isi tape view ［<name>］ [--activepath] [--format {list | json}]


テープまたはメディアチェンジャーデバイスの名前。


isi tape rescan 793

--activepathデバイスのアクティブパスだけを表示します。


リストまたは JSON形式でデバイスを表示します。



第 19 章

SmartLock によるファイル保存


l SmartLock の概要.............................................................................................796l コンプライアンスモード...........................................................................................796l エンタープライズモード.......................................................................................... 796l SmartLock ディレクトリ........................................................................................796l IsilonSD Edge での SmartLock へのアクセス......................................................... 797l SmartLock によるレプリケーションとバックアップ.........................................................797l SmartLock ライセンスの機能............................................................................... 798l SmartLock に関する考慮事項............................................................................ 798l コンプライアンスクロックの設定............................................................................... 799l コンプライアンスクロックの表示............................................................................... 799l SmartLock ディレクトリの作成..............................................................................799l SmartLock ディレクトリの管理.............................................................................. 801l SmartLock ディレクトリのファイルの管理.................................................................805l SmartLock コマンド............................................................................................ 809

SmartLock によるファイル保存 795

SmartLockの概要SmartLock ソフトウェアモジュールを使用すれば、EMC Isilon クラスタ上のファイルの変更、上書き、削除を行えないようにすることができます。この方法でのファイルの保護には、SmartLock ライセンスをアクティブ化する必要があります。SmartLock を使用して、OneFS のディレクトリをWORM ドメインとして特定します。WORM とは、Write Once, Read Many の略です。WORM ドメイン内のすべてのファイルは、WORM状態にコミットすることができます。WORM状態のファイルは、上書き、変更、削除を行うことはできません。ファイルをWORM状態から除去した後、ファイルを削除することができます。ただし、WORM状態にコミットしたファイルは、WORM状態から除去した後も変更することはできません。OneFS では、SmartLock を、コンプライアンスモードまたはエンタープライズモードのどちらのモードでも導入できます。

コンプライアンスモードSmartLock コンプライアンスモードでは、米国証券取引委員会規則 17条 a-4 に定められた規制に従ってデータを保護できます。セキュリティブローカーとセキュリティディーラーを対象とするこの規制は、すべてのセキュリティトランザクションのレコードを書き換え不能かつ消去不能な方法でアーカイブする必要があると定めています。

SmartLock ライセンスをアクティブ化する前の、初期クラスタ構成処理中にのみ、EMC Isilon クラスタを SmartLock コンプライアンスモードに構成することができます。クラスタの初期構成および本番稼働後は、クラスタを SmartLock コンプライアンスモードに変換することはできません。

クラスタを SmartLock コンプライアンスモードに構成すると root ユーザーは無効化され、root ユーザーアカウントでクラスタにログインすることはできません。代わりに、初期 SmartLock コンプライアンスモード構成中に構成されるコンプライアンス管理者アカウントでクラスタにログインします。コンプライアンス管理者アカウントで SmartLock コンプライアンスモードクラスタにログインすると、sudo コマンドを使用して管理タスクを実行することができます。

エンタープライズモード標準構成のクラスタで SmartLock ライセンスをアクティブ化すると、SmartLock ドメインを作成し、ファイルをWORM状態にすることができます。これは、SmartLock エンタープライズモードと呼ばれます。SmartLock エンタープライズモードは SEC規制に準拠していませんが、SmartLock ディレクトリを作成して、書き換えや消去ができないように保護ファイルに SmartLock制御を適用するができます。さらに、root ユーザーアカウントが、使用しているシステム上に残ります。

SmartLock ディレクトリSmartLock ディレクトリでは、ファイルをWORM状態に手動でコミットすることも、ファイルを自動的にコミットするように SmartLock を構成することもできます。SmartLock ディレクトリを作成する前に、クラスタで SmartLock ライセンスをアクティブ化する必要があります。



作成できる SmartLock ディレクトリには、エンタープライズとコンプライアンスの 2種類があります。ただし、コンプライアンスディレクトリを作成するには、初期構成時に EMC Isilon クラスタがSmartLock コンプライアンスモードに設定されている必要があります。エンタープライズディレクトリでは、米国証券取引委員会規則 17条 a-4 で定義された規制に準拠するようにクラスタを制限することなく、データを保護できます。エンタープライズディレクトリでファイルをWORM状態にコミットした場合、そのファイルは変更できず、保存期間が経過するまで削除できません。ただし、ファイルを所有していて ISI_PRIV_IFS_WORM_DELETE権限が割り当てられるか、root ユーザーアカウントを使用してログインしている場合は、保存期間が経過する前であっても、権限のある削除機能を使用してファイルを削除できます。権限のある削除機能は、コンプライアンスディレクトリに対しては使用できません。エンタープライズディレクトリは、システムクロックを参照して、ファイル保存などの時間依存の操作を容易に実行できるようにします。コンプライアンスディレクトリでは、米国証券取引委員会規則 17条 a-4 に定められた規制に従ってデータを保護できます。コンプライアンスディレクトリでファイルをWORM状態にコミットした場合、そのファイルは指定された保存期間が経過するまで変更できず、削除できません。コミットしたファイルは、コンプライアンス管理者アカウントにログインしても削除できません。コンプライアンスディレクトリは、コンプライアンスクロックを参照して、ファイル保存などの時間依存の操作を容易に実行できるようにします。コンプライアンスクロックは、コンプライアンスディレクトリを作成する前に設定する必要があります。コンプライアンスクロックは一度しか設定できません。設定後に、クロック時刻を変更することはできません。必要に応じて、WORM にコミットされたファイルの保存時間を個別に延長することはできますが、保存時間を短縮することはできません。コンプライアンスクロックはコンプライアンスクロックデーモンによって制御されます。Root およびコンプライアンス管理者ユーザーがコンプライアンスクロックデーモンを無効化すれば、WORM にコミットされたすべてのファイルの保存期間を延長させることができます。ただし、これは推奨されていません。

IsilonSD Edgeでの SmartLock へのアクセスIsilonSD Edge を実行している場合、SmartLock ソフトウェアモジュールは購入済みライセンスでのみ利用可能です。この製品は、IsilonSD Edge の無償ライセンスには含まれていません。IsilonSD Edge で SmartLock を使用する前に、次の考慮事項を確認してください。l IsilonSD Edge がエンタープライズモードとコンプライアンスモードの両方の SmartLock機能

をサポートしている場合でも、IsilonSD クラスタは米国証券取引委員会規則 17a-4 に定められた規制に準拠していません。これは、IsilonSD クラスタを実行する仮想化ソフトウェアが、仮想クラスタのディスク構成とそこに存在するデータの改ざんが理論的に可能な root ユーザーを管理しているためです。

l IsilonSD クラスタがコンプライアンスモードに設定されている場合、クラスタに新しいノードを追加することはできません。そのため、クラスタを SmartLock コンプライアンスモードにアップグレードする前に、必要な数のノードを追加する必要があります。

SmartLock によるレプリケーションとバックアップOneFS では、ターゲットクラスタへのレプリケートまたはバックアップに、コンプライアンス SmartLockディレクトリとエンタープライズ SmartLock ディレクトリの両方を使用できます。SmartLock ディレクトリを SyncIQ でレプリケートする場合は、ソースクラスタとターゲットクラスタのすべてのノードを NTP（Network Time Protocol）ピアモードに構成して、ノードクロックが確実に同期するようにすることをお勧めします。コンプライアンスクラスタの場合は、コンプライアンスクロックの設定前に、ソースクラスタとターゲットクラスタのすべてのノードを NTP ピアモードに構成するこ


IsilonSD Edge での SmartLock へのアクセス 797

とをお勧めします。これにより、ソースクラスタとターゲットクラスタが最初に同時刻に設定され、米国証券取引委員会規則 17a-4 への準拠が保証されます。

データを SmartLock ディレクトリにレプリケートするには、それ以上データをディレクトリにレプリケートしなくなるまで、そのディレクトリの SmartLock設定を構成しないでください。たとえば、SmartLockターゲットディレクトリに自動コミット期間を構成すると、レプリケーションジョブが失敗する場合があります。ターゲットディレクトリでファイルをWORM状態にコミットするときに、ソースクラスタでファイルを変更すると、コミットされたファイルは上書きできないため、次回のレプリケーションジョブは失敗します。

データを NDMP デバイスにバックアップした場合、保存期間とコミット状態に関連するすべてのSmartLock メタデータが NDMP デバイスに転送されます。データをクラスタ上の SmartLock ディレクトリにリカバリした場合、メタデータはクラスタに保持されます。ただし、リカバリ先のディレクトリがSmartLock ディレクトリでないと、メタデータは失われます。SmartLock ディレクトリには、ディレクトリが空の場合のみデータをリカバリできます。

SmartLock ライセンスの機能SmartLock ディレクトリを作成してファイルをWORM状態にコミットするには、EMC Isilon クラスターで SmartLock ライセンスがアクティブ化されている必要があります。SmartLock ライセンスが非アクティブになると、クラスターに新たな SmartLock ディレクトリを作成することはできなくなり、SmartLock ディレクトリ構成の設定を変更することもできません。また、有効期限より前にWORM状態にコミットしたエンタープライズディレクトリのファイルを削除することもできません。ただし、既存の SmartLock ディレクトリ内のファイルをWORM状態にコミットすることは引き続き可能です。SmartLock コンプライアンスモードで実行しているクラスターで SmartLock ライセンスが非アクティブになると、クラスターへの root アクセスはリストアされません。

SmartLock に関する考慮事項l root ユーザーが排他的に所有するファイルで、SmartLock コンプライアンスモードで実行して

いる EMC Isilon クラスタに存在する場合、コンプライアンスモードでは root ユーザーアカウントが無効になるため、ファイルにアクセスできません。これはたとえば、コンプライアンスモードに構成されていないクラスタでファイルに root所有権が割り当てられており、その後ファイルがコンプライアンスモードを実行しているクラスタにレプリケートされた場合に発生します。root が所有するファイルを、バックアップからコンプライアンスクラスタにリストアする場合にも発生する可能性があります。

l ファイルを SmartLock ディレクトリの外部で作成し、ファイルの操作を完了してからSmartLock ディレクトリに転送することを推奨します。ファイルをクラスタにアップロードする場合、SmartLock ディレクトリ以外のディレクトリにアップロードした後で SmartLock ディレクトリに転送することを推奨します。ファイルをアップロード中にWORM状態にコミットすると、ファイルが不整合状態になります。

l ファイルを開いた状態でもWORM状態にコミットできます。ディレクトリに自動コミット期間を指定すると、自動コミット期間は、ファイルが閉じられたときではなく、ファイルが最後に変更されたときからの時間の長さに従って計算されます。自動コミット期間を超えて開いているファイルへの書き込みに遅延が発生した場合、ファイルは自動的にWORM状態にコミットされ、書き込みができなくなります。



l Microsoft Windows環境では、ファイルをWORM状態にコミットすると、ファイルの非表示属性やアーカイブ属性を変更できなくなります。WORM状態にコミットしたファイルの非表示またはアーカイブ属性を変更しようとすると、エラーが発生します。これにより、サードパーティアプリケーションによる非表示属性またはアーカイブ属性の変更を防ぐことができます。

コンプライアンスクロックの設定SmartLock コンプライアンスディレクトリを作成する前に、コンプライアンスクロックを設定する必要があります。コンプライアンスクロックを設定すると、クロックがクラスターシステムクロックと同じ時間に構成されます。コンプライアンスクロックを設定する前に、システムクロックが正確な時間に設定されていることを確認してください。コンプライアンスクロックを設定した後で、コンプライアンスクロックがシステムクロックと同期されなくなると、コンプライアンスクロックはシステムクロックに合わせて徐々に訂正されます。コンプライアンスクロックはおよそ 1年につき 1週間の割合で自身を訂正します。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、コンプライアンス管理者アカウントでログインします。

2. 次のコマンドを実行して、コンプライアンスクロックを設定します。

isi worm cdate set

コンプライアンスクロックの表示コンプライアンスクロックの現在時刻を表示できます。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、コンプライアンス管理者アカウントでログインします。

2. 次のコマンドを実行して、コンプライアンスクロックを表示します。

isi worm cdate view

SmartLock ディレクトリの作成SmartLock ディレクトリを作成し、ファイルがWORM状態で保持される期間と、ファイルがWORM状態に自動的にコミットされるタイミングを制御する設定を構成できます。SmartLock ディレクトリを含むディレクトリを移動したり名称変更することはできません。

保存期間保持期間は、WORM状態にあるファイルがWORM状態を解除されるまでその状態を維持する時間の長さです。ディレクトリに対してデフォルト、最大、最小の保持期間を適用する SmartLockディレクトリ設定を構成できます。手動でファイルをコミットする場合、ファイルがWORM状態から解除される日付をオプションで指定できます。SmartLock ディレクトリの最小保持期間と最大保持期間を構成することで、ファイルが


コンプライアンスクロックの設定 799

あまりにも長期間または短期間保持されるのを防ぐことができます。すべての SmartLock ディレクトリについて最小保存期間を指定することをお勧めします。たとえば、最小保存期間が 2日間の SmartLock ディレクトリがあるとします。月曜日の午後 1時00分にファイルをWORM状態にコミットし、ファイルのWORM状態が火曜日の午後 3時 00分に解除されるように指定したとします。ファイルを指定どおりに解除すると最小保持期間に違反するため、ファイルは、2日後である水曜日の午後 1時 00分にWORM状態を解除されます。ファイルのWORM状態を解除する日付を指定せずにファイルをコミットしたときに割り当てられるデフォルト保持期間を構成することもできます。

自動コミット期間SmartLock ディレクトリに対する自動コミット期間を構成できます。自動コミット期間を設定すると、SmarkLock ディレクトリにある一定期間変更のないファイルが自動的にWORM状態にコミットされます。コミットされていないファイルが含まれる SmartLock ディレクトリの自動コミット期間を設定すると、設定前にそのディレクトリにあったファイルに新しい自動コミット期間が即時に適用されます。たとえば、自動コミット期間が 2時間に設定されている SmartLock ディレクトリがあるとします。1:00PM にその SmartLock ディレクトリ内のファイルを編集し、2:15PM に自動コミット期間を 1時間に減らすと、ファイルはすぐにWORM状態にコミットされます。ファイルをWORM状態に手動でコミットすると、読み取り/書き込み権限が変更されます。ただし、WORM状態に自動でコミットされたファイルの読み取り/書き込み権限は変更されません。

空でないディレクトリへのエンタープライズディレクトリの作成SmartLock エンタープライズディレクトリに、空でないディレクトリを作成することができます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

SmartLock ディレクトリを作成する前に、以下の条件と要件が満たされていることを確認してください。l SmartLock ディレクトリを、既存の SmartLock ディレクトリのサブディレクトリとして作成するこ

とはできません。l ハードリンクは、SmartLock ディレクトリの境界をまたぐことはできません。l SmartLock ディレクトリを作成すると、そのディレクトリに対応する SmartLock ドメインが作成

されます。手順

1. isi job jobs start コマンドを実行します。次のコマンドは、/ifs/data/smartlock に SmartLock エンタープライズのドメインを作成します。

isi job jobs start DomainMark --root /ifs/data/smartlock --dm-type Worm

SmartLock ディレクトリの作成SmartLock ディレクトリを作成し、そのディレクトリのファイルをWORM状態にコミットすることができます。SmartLock ディレクトリを作成する前に、以下の条件と要件が満たされていることを確認してください。



l SmartLock ディレクトリを、既存の SmartLock ディレクトリのサブディレクトリとして作成することはできません。

l ハードリンクは、SmartLock ディレクトリの境界をまたぐことはできません。l SmartLock ディレクトリを作成すると、そのディレクトリに対応する SmartLock ドメインが作成

されます。手順

1. isi worm domains create コマンドを実行します。既存のディレクトリのパスを指定する場合、ディレクトリは空である必要があります。

次のコマンドは、デフォルトの保存期間を 4年間、最小保存期間を 3年間、最大保存期間を 5年間として、コンプライアンスディレクトリを作成します。

isi worm domains create /ifs/data/SmartLock/directory1 \ --compliance --default-retention 4Y --min-retention 3Y \ --max-retention 5Y --mkdir

次のコマンドは、自動コミット期間を 30分間、最小保存期間を 3 か月間として、エンタープライズディレクトリを作成します。

isi worm domains create /ifs/data/SmartLock/directory2 \ --autocommit-offset 30m --min-retention 3M --mkdir

SmartLock ディレクトリの管理デフォルトの保存期間、最小保存期間、最大保存期間、自動コミット期間などの SmartLock ディレクトリの設定を変更できます。SmartLock ディレクトリの名前は、ディレクトリが空の場合のみ変更できます。

SmartLock ディレクトリの変更SmartLock ディレクトリの SmartLock構成設定を変更できます。

ディレクトリごとに SmartLock設定を変更できる回数は 32回です。SmartLock の設定は 1回だけ実行し、ファイルを SmartLock ディレクトリに追加した後は設定を変更しないことをお勧めします。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi worm modify コマンドを実行して、SmartLock構成設定を変更します。

次のコマンドはデフォルトの保存期間を 1年間に設定します。

isi worm domains modify /ifs/data/SmartLock/directory1 \--default-retention 1Y


SmartLock ディレクトリの管理 801

SmartLock ディレクトリ設定の表示SmartLock ディレクトリの SmartLock ディレクトリ設定を表示できます。手順


2. 次のコマンドを実行して、すべての SmartLock ドメインを表示します。

isi worm domains list


ID Path Type-----------------------------------------------65536 /ifs/data/SmartLock/directory1 enterprise65537 /ifs/data/SmartLock/directory2 enterprise65538 /ifs/data/SmartLock/directory3 enterprise-----------------------------------------------

3. (オプション) 特定の SmartLock ディレクトリに関する詳細情報を表示するには、isiworm domains view コマンドを実行します。次のコマンドを実行すると、/ifs/data/SmartLock/directory2 に関する詳細情報が表示されます。

isi worm domains view /ifs/data/SmartLock/directory2


ID: 65537Path: /ifs/data/SmartLock/directory2Type: enterpriseLIN: 4295426060

Autocommit Offset: 30mOverride Date: -

Privileged Delete: offDefault Retention: 1Y

Min Retention: 3MMax Retention: -Total Modifies: 3/32 Max

SmartLock ディレクトリ構成の設定SmartLock ディレクトリ設定を構成して、ファイルがコミットされるタイミングや、指定のディレクトリでファイルがWORM状態のまま保存される期間を設定できます。ID

対応する SmartLock ドメインの数値 ID。

Path

ディレクトリのパス。

Type

SmartLock ディレクトリのタイプ。



LIN

ディレクトリの inode番号。

Autocommit offset

ディレクトリの自動コミット期間。この SmartLock ディレクトリで指定の期間変更されなかったファイルは、自動的に WORM 状態にコミットされます。時間は「<integer><time>」形式で表現され、［<time>］は次のいずれかの値になります。Y


M


W


D


H


m


s


Override date

ディレクトリの上書き保存日付。WORM状態にコミットされたファイルは、ディレクトリの最大保存期間や、ファイルをWORM状態から解放する早期日付をユーザーが指定するかどうかにかかわらず、指定された日付を過ぎるまでWORM状態から解放されません。

Privileged delete

特権削除機能を通じてディレクトリ内のWORM状態にコミットされたファイルを削除できるかどうかを示します。権限の削除機能にアクセスするには、ISI_PRIV_IFS_WORM_DELETE権限を割り当てられているか、削除するファイルを所有している必要があります。root またはcompadmin ユーザーアカウントでログインしている場合は、すべてのファイルに対する権限の削除機能にもアクセスできます。on

WORM状態にコミットされたファイルは、isi worm files delete コマンドを使用して削除できます。

off

WORM状態にコミットされたファイルは、isi worm files delete コマンドを使用しても削除できません。

disabled

WORM状態にコミットされたファイルは、isi worm files delete コマンドを使用しても削除できません。この設定は適用した後には変更できません。


SmartLock ディレクトリ構成の設定 803

Default retention period

ディレクトリのデフォルトの保存期間。WORM 状態のファイルをリリースする日時をユーザーが指定しなかった場合は、デフォルトの保存期間が割り当てられます。時間は「<integer><time>」形式で表現され、［<time>］は次のいずれかの値になります。Y


M


W


D


H


m


s


Foreverは、WORM にコミットされたファイルがデフォルトで永続的に保存されることを示します。Use Minは、デフォルトの保存期間が最小保存期間と一致することを示します。UseMaxは、デフォルトの保存期間が最大保存期間と一致することを示します。

Minimum retention period

ディレクトリの最小保存期間。ユーザーが、保存期間が短くなる有効期限を指定した場合でも、ファイルは少なくとも指定された期間 WORM 状態で保存されます。時間は「<integer><time>」形式で表現され、［<time>］は次のいずれかの値になります。Y


M


W


D


H


m




s


Foreverは、WORM にコミットされたすべてのファイルが永続的に保存されることを示します。

Maximum retention period

ディレクトリの最大保存期間。ユーザーが保存期間よりも長い有効期限を指定した場合でも、ファイルは指定された期間より長く WORM 状態で保存されません。時間は「<integer><time>」形式で表現され、［<time>］は次のいずれかの値になります。Y


M


W


D


H


m


s


Foreverは、最大保存期間がないことを示します。

SmartLock ディレクトリのファイルの管理ファイルの読み書き権限を削除することにより、SmartLock ディレクトリ内のファイルをWORM状態にコミットできます。ファイルの保存期間が切れる特定の日付を設定することもできます。ファイルがWORM状態にコミットされた後は、ファイルの保存期間を長くすることはできますが、短くすることはできません。ファイルの保存期間が過ぎた後でも、WORM状態にコミットされたファイルを削除することはできません。保存期間の期限日は、ファイルのアクセス時刻を変更することで設定されます。UNIX コマンドラインでは、touch コマンドを使用してアクセス時刻を変更できます。Windows エクスプローラーではアクセス時刻を変更する方法がありませんが、Windows Powershell を使用するとアクセス時刻を変更できます。ファイルにアクセスしても保存期間の期限日は設定されません。ファイルを SmartLock状態から解除する日付を指定せずに SmartLock ディレクトリ内のファイルに対して touch コマンドを実行し、ファイルをコミットした場合、保存期間は SmartLock ディレクトリに対して指定されたデフォルト保存期間に自動的に設定されます。SmartLock ディレクトリのデフォルト保存期間を指定しなかった場合、ファイルの保存期間はゼロ秒に設定されます。すべてのSmartLock ディレクトリについて最小保存期間を指定することをお勧めします。


SmartLock ディレクトリのファイルの管理 805

UNIX コマンドラインを使用した保存期間の設定UNIX コマンドラインを使用してファイルをWORM状態から解放するタイミングを指定できます。手順

1. UNIX コマンドラインを使用して EMC Isilon クラスターのノードへの接続を開き、ログインします。

2. touch コマンドを使用して、ファイルのアクセス時間を変更して保存期間を設定します。次のコマンドを実行すると、/ifs/data/test.txt の有効期限が 2015年 6月 1日に設定されます。

touch -at 201506010000 /ifs/data/test.txt

Windows Powershell を使用した保存期間の設定Microsoft Windows Powershell を使用してファイルをWORM状態から解放するタイミングを指定できます。手順

1. Windows PowerShell コマンドプロンプトを開きます。2. (オプション) net use コマンドを実行して、EMC Isilon クラスターへの接続を確立します。

次のコマンドを実行すると、cluster.ip.address.com上の/ifs ディレクトリに対する接続が確立されます。

net use "\\cluster.ip.address.com\ifs" /user:root password

3. オブジェクトを作成することで、保存期間を設定するファイルの名前を指定します。このファイルは SmartLock ディレクトリに存在している必要があります。

次のコマンドを実行すると、/smartlock/file.txt のオブジェクトが作成されます。

$file = Get-Item "\\cluster.ip.address.com\ifs\smartlock\file.txt"

4. ファイルの最終アクセス時刻を設定することで、保存期間を指定します。次のコマンドを実行すると、有効期限が 2015年 7月 1日の午後 1:00 に設定されます。

$file.LastAccessTime = Get-Date "2015/7/1 1:00 pm"

UNIX コマンドラインを使用したファイルのWORM状態へのコミットUNIX コマンドラインを使用して、ファイルをWORM状態にコミットできます。

ファイルをWORM状態にコミットするには、すべての書き込み権限をファイルから削除する必要があります。ファイルがすでに読み取り専用状態に設定されている場合は、最初に書き込み権限をファイルに追加してから、そのファイルを読み取り専用状態に戻す必要があります。手順

1. UNIX コマンドラインインターフェイスを使用して EMC Isilon クラスターへの接続を開き、ログインします。



2. chmod コマンドを実行して、ファイルから書き込み権限を削除します。次のコマンドを実行すると、/ifs/data/smartlock/file.txt の書き込み権限が削除されます。

chmod ugo-w /ifs/data/smartlock/file.txt

Windows エクスプローラを使用したファイルのWORM状態へのコミットMicrosoft Windows エクスプローラを使用して、ファイルをWORM状態にコミットできます。この処理手順では、Windows 7 を使用してファイルをコミットする方法を説明します。

ファイルをWORM状態にコミットするには、読み取り専用設定を適用する必要があります。ファイルがすでに読み取り専用状態に設定されている場合、最初にそのファイルを読み取り専用状態からはずした後、読み取り専用状態に戻す必要があります。手順

1. Windows エクスプローラで、WORM状態にコミットするファイルに移動します。2. フォルダを右クリックして［Properties］をクリックします。3. ［Properties］ウィンドウで、［General］タブをクリックします。4. ［Read-only］チェックボックスをオンにして、［OK］をクリックします。

SmartLock ディレクトリ内にあるすべてのファイルの保存期間の上書きSmartLock ディレクトリ内のファイルの保存期間を上書きできます。このディレクトリ内でWORM状態にコミットされたすべてのファイルは、指定日を過ぎるまでWORM状態のままです。

保存期間が上書きされた後にファイルがWORM状態にコミットされた場合、上書きされた日付までが最短の保存日になります。ユーザーの指定に関係なく、WORM状態にコミットされたすべてのファイルは、少なくとも特定の日までは期限切れになりません。手順


2. isi worm modify コマンドを実行して、SmartLock ディレクトリ内にあるWORM としてコミットされたすべてのファイルの保存期間の有効期限を上書きします。たとえば、次のコマンドを実行すると、/ifs/data/SmartLock/directory1 の保存期間の有効期限が 2014年 6月 1日に上書きされます。

isi worm domains modify /ifs/data/SmartLock/directory1 \--override-date 2014-06-01

WORM状態にコミットされたファイルの削除特権削除機能を使用して、WORM にコミットされたファイルを有効期限前に削除できます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

はじめにl そのファイルを含む SmartLock ディレクトリに対して、管理者権限による削除機能が永続的に

無効化されていないことが必要です。


Windows エクスプローラを使用したファイルのWORM状態へのコミット 807

OneFS 8.0.1 CLI管理ガイド...第 2 章第 3 章第 4 章目次 OneFS 8.0.1 CLI...

Documents

Transcript of OneFS 8.0.1 CLI管理ガイド...第 2 章第 3 章第 4 章目次 OneFS 8.0.1 CLI...

OneFS 8.0.1 CLI管理ガイド...第 2 章 第 3 章 第 4 章 目次 OneFS 8.0.1 CLI...

Documents

Transcript of OneFS 8.0.1 CLI管理ガイド...第 2 章 第 3 章 第 4 章 目次 OneFS 8.0.1 CLI...

OneFS 8.0.1 CLI管理ガイド...第 2 章第 3 章第 4 章目次 OneFS 8.0.1 CLI...

Transcript of OneFS 8.0.1 CLI管理ガイド...第 2 章第 3 章第 4 章目次 OneFS 8.0.1 CLI...