SME テープの設定
この章では、SME を使用して暗号化されるテープの管理に関する情報が含まれています。
この章では、次の事項について説明します。
SME テープ管理に関する情報
プロビジョニングしたら、SME は、ホストとターゲットに透過性を提供します。ホストからテープ デバイスへのパスを管理するために、SME を次のものを使用します。
- テープ グループ:SAN のバックアップ環境。すべてのテープ バックアップ サーバ、およびテープ バックアップ サーバがアクセスするテープ ライブラリで構成されています。
- テープ デバイス:暗号化用に設定されているテープ ドライブ。
- テープ ボリューム:特定の用途のためにバーコードで識別される物理テープ カートリッジ。
- テープ ボリューム グループ:特定の用途のために設定されているテープ ボリュームの論理セット。SME を使用して、テープ ボリューム グループは、バーコードの範囲または指定の正規表現を使用して設定できます。自動ボリューム グループでは、テープ ボリューム グループは、バックアップ アプリケーションで設定されているボリューム プール名にすることができます。
SME は、暗号化パスワードを使用してボリューム グループをエクスポートする機能が提供されます。このファイルは、後からボリューム グループにインポートできます。また、ボリューム グループ フィルタリング オプションでは、特定のボリューム グループに含める情報のタイプを指定できます。たとえば、バーコードの範囲を指定して、ボリューム グループ内に含める情報をフィルタリングできます。
図 5-1 は、SME のテープ バックアップ環境を示しています。
図 5-1 SME のテープ バックアップ環境と設定
次の概念は、テープ管理手順で使用されます。
- キー管理設定
- 自動ボリューム グループ
- キーオンテープ
- 圧縮
- ボリューム グループの設定
(注) データが部分的に非 SME 暗号化のテープに書き込まれると、クリア テキストのまま残ります。テープは、リサイクル時またはラベル再作成時に、SME により暗号化されます。
CLI を使用した SME テープ管理の設定
この項では、次のトピックについて取り上げます。
手順の詳細
テープ圧縮をイネーブルにするには、次の手順を実行します。
|
|
|
ステップ 1 |
switch# config t |
コンフィギュレーション モードに入ります。 |
ステップ 2 |
switch(config)# sme cluster clustername1 switch(config-sme-cl)# |
クラスタを指定し、SME クラスタ設定サブモードを開始します。 |
ステップ 3 |
switch(config-sme-cl)# tape-compression switch(config-sme-cl)# |
テープ圧縮をイネーブルにします。 |
ステップ 4 |
switch(config-sme-cl)# no tape-compression switch(config-sme-cl)# |
テープ圧縮をディセーブルにします。 |
キーオンテープのイネーブル化とディセーブル化
SME には、バックアップ テープ上に暗号化されたセキュリティ キーを保存するオプションがあります。
手順の詳細
キーオンテープ機能をイネーブルにするには、次の手順を実行します。
|
|
|
ステップ 1 |
switch# config t |
コンフィギュレーション モードに入ります。 |
ステップ 2 |
switch(config)# sme cluster clustername1 switch(config-sme-cl)# |
クラスタを指定し、SME クラスタ設定サブモードを開始します。 |
ステップ 3 |
switch(config-sme-cl)# key-ontape switch(config-sme-cl)# |
キーオンテープ機能をイネーブルにします。 |
ステップ 4 |
switch(config-sme-cl)# no key-ontape switch(config-sme-cl)# |
キーオンテープ機能をディセーブルにします。 |
テープ ボリューム グループの設定
テープ ボリューム グループは、通常は機能別に分類されているテープのグループです。たとえば、HR1 はすべての人事部門のテープ バックアップ用の指定されたテープ ボリューム グループ、EM1 はすべての電子メールのバックアップ テープ用の指定されたテープ ボリューム グループなどとなります。
テープ グループの追加により、SME が暗号化されたデータ用に使用する、VSAN、ホスト、ストレージ デバイス、およびパスを選択することができます。たとえば、HR データ用のテープ グループを追加することで、SME のマッピングはデータを HR ホストから専用の HR バックアップ テープに転送するように設定されます。
手順の詳細
テープ ボリューム グループを設定するには、次の手順を実行します。
|
|
|
ステップ 1 |
switch# config t |
コンフィギュレーション モードに入ります。 |
ステップ 2 |
switch(config)# sme cluster clustername1 switch(config-sme-cl)# |
クラスタを指定し、SME クラスタ設定サブモードを開始します。 |
ステップ 3 |
switch(config-sme-cl)# tape-bkgrp groupname1 switch(config-sme-cl-tape-bkgrp)# |
テープ ボリューム グループを指定し、SME テープ ボリューム グループ サブモードを開始します。 |
ステップ 4 |
switch(config-sme-cl-tape-bkgrp)# tape-device devicename1 switch(config-sme-cl-tape-bkgrp-tapedevice)# |
テープ デバイス名を指定し、SME テープ デバイス サブモードを開始します。 |
ステップ 5 |
switch(config-sme-cl-tape-bkgrp-tapedevice)# tape-device devicename1 D switch(config-sme-cl-tape-bkgrp-tapedevice)# |
テープ カートリッジ ID を指定します。 |
ステップ 6 |
switch(config-sme-cl-tape-bkgrp-tapedevice)# host 10:00:00:00:c9:4e:19:ed target 2f:ff:00:06:2b:10:c2:e2 vsan 4093 lun 0 fabric f1 switch(config-sme-cl-tape-bkgrp-tapedevice)# |
テープ ボリューム グループ用のホストとターゲット、VSAN、LUN、およびファブリック(f1)を指定します。 |
ステップ 7 |
switch(config-sme-cl-tape-bkgrp-tapedevice)# enable |
テープ デバイスをイネーブルにします。 |
自動ボリューム グループのイネーブル化およびディセーブル化
テープ バーコードが既存のボリューム グループに属していないことを SME が認識すると、SME は自動ボリューム グループ化をイネーブルにして、新しいボリューム グループを作成します。
デフォルトでは、自動ボリューム グループ化はディセーブルになっています。
手順の詳細
自動ボリューム グループ化をイネーブルまたはディセーブルにするには、次の手順を実行します。
|
|
|
ステップ 1 |
switch# config t |
コンフィギュレーション モードに入ります。 |
ステップ 2 |
switch(config)# sme cluster clustername1 switch(config-sme-cl)# |
クラスタを指定し、SME クラスタ設定サブモードを開始します。 |
ステップ 3 |
switch(config-sme-cl)# auto-volgrp switch(config-sme-cl)# |
自動ボリューム グループを指定します。 |
ステップ 4 |
switch(config-sme-cl)# no auto-volgrp switch(config-sme-cl)# |
自動ボリューム グループを指定しません。 |
テープ グループへのテープ デバイスの追加
テープ デバイスは、テープ グループの一部として指定され、エイリアスとしての名前で認識されます。
手順の詳細
テープ デバイスをテープ グループを追加するには、次の手順を実行します。
|
|
|
ステップ 1 |
switch# config t |
コンフィギュレーション モードに入ります。 |
ステップ 2 |
switch(config)# sme cluster clustername1 switch(config-sme-cl)# |
クラスタを指定し、SME クラスタ設定サブモードを開始します。 |
ステップ 3 |
switch(config-sme-cl)# tape-bkgrp groupname1 switch(config-sme-cl-tape-bkgrp)# |
テープ ボリューム グループを指定し、SME テープ ボリューム グループ サブモードを開始します。 |
ステップ 4 |
switch(config-sme-cl-tape-bkgrp)# tape-device devicename1 switch(config-sme-cl-tape-bkgrp-tapedevice)# |
テープ デバイス名を指定し、SME テープ デバイス サブモードを開始します。 |
ステップ 5 |
switch(config-sme-cl-tape-bkgrp-tapedevice)# tape-device devicename1 D switch(config-sme-cl-tape-bkgrp-tapedevice)# |
テープ カートリッジ ID を指定します。 |
テープ デバイスへのパスの追加
注意
サーバとストレージの間のパスをホストするすべての IT-Nexus を設定に追加する必要があります。そのようにしないとデータの整合性は危険にさらされます。
テープ デバイスは、テープ グループの一部として指定され、エイリアスとしての名前で認識されます。クラスタ内のテープ デバイスへのすべてのパスは、ホスト、ターゲット、LUN、VSAN、およびファブリックを使用して指定される必要があります。
手順の詳細
クラスタ内のテープ デバイスへのパスを追加するには、次の手順を実行します。
|
|
|
ステップ 1 |
switch# config t |
コンフィギュレーション モードに入ります。 |
ステップ 2 |
switch(config)# sme cluster clustername1 switch(config-sme-cl)# |
クラスタを指定し、SME クラスタ設定サブモードを開始します。 |
ステップ 3 |
switch(config-sme-cl)# tape-bkgrp groupname1 switch(config-sme-cl-tape-bkgrp)# |
テープ ボリューム グループを指定し、SME テープ ボリューム グループ サブモードを開始します。 |
ステップ 4 |
switch(config-sme-cl-tape-bkgrp)# tape-device devicename1 switch(config-sme-cl-tape-bkgrp-tapedevice)# |
テープ デバイス名を指定し、SME テープ デバイス サブモードを開始します。 |
ステップ 5 |
switch(config-sme-cl-tape-bkgrp-tapedevice)# tape-device devicename1 D switch(config-sme-cl-tape-bkgrp-tapedevice)# |
テープ カートリッジ ID を指定します。 |
ステップ 6 |
switch(config-sme-cl-tape-bkgrp-tapedevice)# host 10:00:00:00:c9:4e:19:ed target 2f:ff:00:06:2b:10:c2:e2 vsan 4093 lun 0 fabric f1 switch(config-sme-cl-tape-bkgrp-tapedevice)# |
テープ ボリューム グループ用のホストとターゲット、VSAN、LUN、およびファブリック(f1)を指定します。 |
ステップ 7 |
switch(config-sme-cl-tape-bkgrp-tapedevice)# no host 10:00:00:00:c9:4e:19:ed target 2f:ff:00:06:2b:10:c2:e2 vsan 4093 lun 0 switch(config-sme-cl-tape-bkgrp-tapedevice)# |
指定されたパスをテープ ドライブから削除します。 |
(注) 上記のパスで指定された IT-Nexus が SME で設定されていない場合、SME は、設定済みのパスを指定のテープ デバイスに追加するとともに、IT-Nexus の検出をトリガーします。スクリプト化された環境では、パスを追加するときに、IT-Nexus 検出が完了できるように 1 分間の遅延を設定することをお勧めします。
テープ暗号化のバイパス
テープ デバイスを作成したら、バイパス機能をイネーブルまたはディセーブルにできます。
(注) デフォルトでは、暗号化のバイパスはディセーブルになっています。クリア テキスト テープがロードされると、書き込みは失敗します。
手順の詳細
テープ暗号化のバイパスをイネーブルまたはディセーブルにするには、次の手順を実行します。
|
|
|
ステップ 1 |
switch# config t |
コンフィギュレーション モードに入ります。 |
ステップ 2 |
switch(config)# sme cluster clustername1 switch(config-sme-cl)# |
クラスタを指定し、SME クラスタ設定サブモードを開始します。 |
ステップ 3 |
switch(config-sme-cl)# tape-bkgrp groupname1 switch(config-sme-cl-tape-bkgrp)# |
テープ ボリューム グループを指定し、SME テープ ボリューム グループ サブモードを開始します。 |
ステップ 4 |
switch(config-sme-cl-tape-bkgrp)# tape-device tapename1 switch(config-sme-cl-tape-bkgrp tape-device tapename1)# |
クリア テキスト データがあるテープを指定します。 |
ステップ 5 |
switch(config-sme-cl-tape-bkgrp-tape device)# no by pass |
クリア テキスト テープの使用時に書き込みを拒否する、テープ デバイスのバイパス ポリシーを指定します。 |
switch(config-sme-cl-tape-bkgrp-tape device)# by pass |
クリア テキストでのデータの通過を許可する、テープ デバイスのバイパス ポリシーを指定します。 |
注意
サーバとストレージの間のパスをホストするすべての IT-Nexus を設定に追加する必要があります。そのようにしないとデータの整合性は危険にさらされます。
SME テープ管理設定の確認
SME テープ管理の設定情報を表示するには、次のいずれかの作業を行います。
|
|
show sme cluster tape |
テープに関する要約または詳細情報を表示します。 |
show sme cluster tape detail |
テープ カートリッジに関する情報を表示します。 |
show sme cluster tape-bkgrp |
すべてのテープ ボリューム グループまたは特定のグループに関する情報を表示します。 |
これらのコマンドの出力に表示される各フィールドの詳細については、『 Cisco MDS 9000 Family NX-OS Command Reference 』を参照してください。
SME テープ管理のモニタリング
この項では、次のトピックについて取り上げます。
ホストの詳細の表示
SME クラスタ内のホストに関する詳細情報を表示できます。特定のホストに関する情報には、テープ グループ メンバーシップ、ホストからターゲットへのパス、VSAN、ファブリック、ステータス、およびテープ デバイスが含まれます。
テープの詳細情報の表示
SME クラスタのテープ デバイスに関する詳細情報を表示できます。特定のテープ デバイスに関する情報には、テープ グループ メンバーシップ、デバイスの説明、シリアル番号、ホストとターゲットの PWWN が含まれます。
CLI を使用した SME テープ情報の表示
テープの概要についての詳細情報を表示するには、 show sme cluster tape コマンドを使用します。
switch# show sme cluster clustername1 tape summary -------------------------------------------------------------------------------
Host WWN Description Crypto-Tape Status
-------------------------------------------------------------------------------
10:00:00:00:c9:4e:19:ed HP Ultrium 2-SCSI HR1 online
テープ カートリッジ情報の表示
テープ カートリッジに関する情報を表示するには、 show sme cluster tape detail を使用します。
switch# show sme cluster clustername1 tape detail
Serial Number is 2b10c2e22f
Host 10:00:00:00:c9:4e:19:ed Target 2f:ff:00:06:2b:10:c2:e2 LUN 0x0000
テープ ボリューム グループ情報の表示
すべてのテープ ボリューム グループまたは特定のグループに関する情報を表示するには、show sme cluster tape-bkgrp コマンドを使用します。
switch# show sme cluster clustername1 tape-bkgrp -------------------------------------------------------------------------------
Name Tape Devices Volume Groups
-------------------------------------------------------------------------------
switch# show sme cluster clustername1 tape-bkgrp HR1
Number of tape devices is 1
Number of volume groups is 1
Tape device td1 is online
Description is HP Ultrium 2-SCSI
Serial number is 2b10c2e22f
Host 10:00:00:00:c9:4e:19:ed Target 2f:ff:00:06:2b:10:c2:e2 Lun 0x0000 vsan 4093[f1]
テープ デバイスのステータスの表示
テープ情報を表示するには、show sme internal info cluster <cname> tape-all コマンドを使用します。
SWitch# show sme internal info cluster tie1 tape-all
Memory Address : 0x10788854
Tape Key Recycle : Enabled
Shared Key Mode : Disabled
Auto Volume Group : Disabled
Memory Address : 0x107ba054
SME (Encryption) : Enabled
Bypass-Policy : BYPASS DISABLED
FSM State : SME_CTAPE_DEVICE_G_ST_STABLE
LUN FSM State : SME_LUN_ST_STABLE
IT :V 3 I 40:00:00:00:00:00:00:01 T 40:00:00:00:00:00:00:02
特定のテープ バックアップ グループの特定のテープ デバイスに関する情報を表示するには、sh sme internal info cluster tie1 tape-bkgrp tb2 tape-device td0 を使用します。
Switch# sh sme internal info cluster tie1 tape-bkgrp tb2 tape-device td0
Memory Address : 0x107ba054
SME (Encryption) : Enabled
Bypass-Policy : BYPASS DISABLED
FSM State : SME_CTAPE_DEVICE_G_ST_STABLE
LUN FSM State : SME_LUN_ST_STABLE
IT :V 3 I 40:00:00:00:00:00:00:01 T 40:00:00:00:00:00:00:02
暗号用に設定されている SME インターフェイスに関する統計情報を表示するには、Show Interface smex/y を使用します。
----------------------------------------------------------------------------
Host Reads 0 0 0 0.00 B/s
Host Writes 0 0 0 0.00 B/s
Host Total 0 0 0 0.00 B/s
Tgt Writes 0 0 0 0.00 B/s
Clear IOs IO/s Bytes Rate
----------------------------------------------------------------------------
Host Reads 0 0 0 0.00 B/s
Host Writes 0 0 0 0.00 B/s
Host Total 0 0 0 0.00 B/s
Tgt Writes 0 0 0 0.00 B/s
Clear Luns 1, Encrypted Luns 0
0 CTH, 0 Authentication 0 Compression
0 Key Generation, 0 Incorrect Read Size
0 Overlap Commands, 0 Stale Key Accesses
0 Overload Condition, 0 Incompressible
0 XIPC Task Lookup, 0 Invalid CDB
0 Ili, 0 Eom, 0 Filemark, 0 Other
2 FAILED WRITE Count - BYPASS DISABLED by USER ======> If write fails for clear text tape
last error at Tue Jun 26 13:39:49 2012
モジュール コマンドを使用して、LUN 固有の情報を表示します。
show sme internal info crypto-node 1 lun all
module-1# sh sme internal info crypto-node 1 lun all
serial no. 0003-0000-00000000:0000000000000000
Bypass_Policy BYPASS DISABLED
wrap guid 0000000000000000-0000000000000000
media guid 0000000000000000-0000000000000000
SME テープ管理の機能履歴
表 5-1 に、この機能のリリース履歴を示します。
表 5-1 SME テープ設定の機能履歴
|
|
|
新しい SME テープ コマンドが追加されました |
5.2(6) |
新しい SME テープ コマンドが追加されました。 |
ソフトウェアの変更 |
5.2(1) |
Release 5.2(1) では、Fabric Manager は DCNM for SAN(DCNM-SAN)という名前に変更されました。 |
4.1(1c) |
Release 4.1(1b) 以降、MDS SAN-OS ソフトウェアは MDS NX-OS ソフトウェアに名前が変更されました。旧リリースは変更されておらず、参照はすべて維持されています。 |