Cisco ACE XML Gateway ユーザ ガイド
ポリシーの管理
ポリシーの管理
発行日;2012/02/01 | 英語版ドキュメント(2009/11/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

ポリシーの管理

ポリシーについて

サブポリシーの使用

Shared サブポリシーについて

サブポリシーの作成

アクティブ サブポリシーの変更

サブポリシーからの導入

サブポリシーの削除

サブポリシー間でのオブジェクトのコピー

ポリシーの再構成

ポリシー オブジェクトの移行

PPF ファイルによるポリシーのエクスポートおよびインポート

PPF へのポリシーのエクスポート

ポリシーのインポート

その他のポリシー管理作業

アーカイブ履歴へのポリシーの保存

ポリシーの復元

ポリシー バージョンの比較

ポリシー確認の自動化

ポリシー変更の破棄

ポリシーの統計情報

ポリシー履歴のクリア

ID によるポリシー コンポーネントの検索

ポリシーの管理

この章では、ACE XML Gateway のポリシーを管理する方法について説明します。内容は次のとおりです。

「ポリシーについて」

「サブポリシーの使用」

「サブポリシー間でのオブジェクトのコピー」

「PPF ファイルによるポリシーのエクスポートおよびインポート」

「その他のポリシー管理作業」

ポリシーについて

ポリシーには、ACE XML Gateway によるトラフィックの処理方法を制御する、すべての一連のルールと動作が含まれています。ポリシーの主要な作成環境である ACE XML Manager の Web コンソールは、ポリシーの管理とメンテナンスを行うための多くの機能を備えています。特に、これらの機能は Policy Manager で使用できます。

管理権限を持つユーザとしてコンソールにログインしている間に、操作メニューの [Policy] セクションの下部付近にある [Policy Manager] リンクをクリックすると、Policy Manager を表示できます。

[Policy Manager] ページは、次のエリアによって構成されています。

[Last Deployed] には、前回導入時のポリシーのバージョンが表示されます。これが、ACE XML Gateway に対して現在適用されているポリシーのバージョンになります。

[Manager Policy] には、ポリシーの作業バージョン、つまり、コンソールにおいて現在作成中のバージョンに対して適用可能なコントロールが含まれています。ここでは、ポリシーを導入せずに現在の作業バージョンをポリシー履歴リストに保存し、変更情報を表示するという作業を実行できます。

ポリシー履歴 リストには、ポリシーの過去のバージョンが表示されます。ポリシーを導入すると、導入したポリシー バージョンがポリシー アーカイブに自動的に保存されます。また、任意の時点で、ポリシーの現在の作業バージョンを手動で履歴に保存することもできます。

ACE XML Manager において、承認ベースの導入が設定されている場合は、ログイン済みのユーザのロールに応じて、[Approved] または [Deploy] の設定が表示されます。

[Approved] ペインには、導入可能な承認済みポリシーが表示されます。

[working policy] セクションの [Deploy] 行では、管理者が、作業ポリシーを導入するプロセスを開始できます。承認ベースの導入が有効である場合に、現在のユーザが管理者ではない場合は、このエリアの名前が [Submit] になります。[Submit] を使用すると、未承認ポリシーの管理承認を要求できます。

ポリシーは、Gateway のルールと動作を制御する単一の場所であるため、ポリシーが増大して、多数のオブジェクトやサービス定義が含まれる可能性があります。サブポリシーを使用すると、ポリシー内のポリシー オブジェクトを構成できます。サブポリシーへのアクセスは Web コンソールで制御できるため、サブポリシーを使用することにより、ポリシーを作成または管理するそれぞれのチームに対応する関心領域ごとに、1 つのポリシーを分割できます。

この章では、これらの機能について説明し、ACE XML Gateway のポリシーの作成およびメンテナンスにおける他の考慮事項についても説明します。

サブポリシーの使用

サブポリシーを使用すると、ポリシー内のオブジェクトおよび設定を構成できます。1 つのポリシーには、任意の数のサブポリシーを追加できます。サブポリシーを使用すると、異なる作成チームごとに関心対象を分割できるため、チームベースの作成をスムーズに行うことができます。

デフォルトの Manager ポリシーには、 Shared という名前の定義済みサブポリシーが含まれています。他のサブポリシーがポリシーに追加されなかった場合は、Shared サブポリシーがポリシー作業のコンテキストであるという事実が、ユーザに対して透過的になります。サブポリシー機能を使用するには、追加のサブポリシーを定義する必要があります。

特定のサブポリシーをコンソールでアクティブにすることにより、そのサブポリシーにオブジェクトを配置できます。次に、サブポリシー内のオブジェクトを作成できます。サブポリシー内にポリシー オブジェクトを作成した後には、そのサブポリシーがコンソールでアクティブになっている場合に限り、サブポリシーの変更できます。

オブジェクトはサブポリシー間で移動できます。Portable Policy Format(PPF)のインポート/エクスポート プロセスを使用すると、1 つのサブポリシーから別のサブポリシーに、オブジェクトを選択してコピーできます。このプロセスは、サブポリシー間でオブジェクトを再構成する場合や、コピーしない場合は異なるサブポリシーを使用する必要がある環境間で、オブジェクトを移行する場合に役立ちます。

Shared サブポリシーについて

定義済みの Shared サブポリシーには、サブポリシーとしての固有の特性がいくつかあります。Shared サブポリシーに含まれているオブジェクトおよびリソースは、他のサブポリシーでも使用できます(これ以外のサブポリシーのコンテンツは、他のサブポリシー(Shared を含む)では使用できません)。

図 30-1 Shared サブポリシーとユーザ定義サブポリシーの関係

 

他のサブポリシーを作成または削除するには、Shared サブポリシーがアクティブである必要があります。この意味では、Shared は他のサブポリシーの親になります。したがって、環境間でサブポリシーの定義を転送するには、Shared サブポリシーから PPF ファイルをエクスポートし、ターゲット環境にインポートする必要があります。これにより、サブポリシーの定義が、ソースからターゲット ポリシーに複製されます(ただし、これらのサブポリシーのコンテンツは複製されません)。

ただし、Shared には、他の意味でのサブポリシーは含まれないことに注意してください。つまり、他のサブポリシーのコンテンツはShared には含まれません。ポリシーを変更するには、各サブポリシーを個別に導入または削除する必要があります。

エクスポート プロセスでは、ポリシーをファイルに書き込むことにより、ポリシーをアーカイブまたは共有できます。ポリシーは Portable Policy Format(PPF)ファイルに書き込まれます。Shared からのエクスポート時には、Shared 内のオブジェクトだけがファイルに書き込まれます。ユーザ定義サブポリシーからのエクスポート時には、アクティブ サブポリシーのコンテンツだけではなく、 Shared の一部が、生成された PPF ファイルに含まれる場合があります(PPF のエクスポートの詳細については、「PPF ファイルによるポリシーのエクスポートおよびインポート」を参照してください)。

Shared 内のリソースは、複数のサブポリシー間で使用できるため、Shared には通常、幅広い適用項目(セキュリティ証明書、ポート定義など)によるオブジェクトが保持されています。

Shared には、いくつかのタイプのオブジェクトが含まれている必要があり、これには、次が含まれます。

コンテンツ スクリーニング ルール(カスタムと組み込みの両方のスクリーニング ルール)。

Shared サブポリシーの "Public" 権限付与グループ。これは、「公開されている」ハンドラが割り当てられる内部の承認グループです。

デフォルトの HTTP ポート(ポート 80)。

これらのオブジェクトの移動を試みても、Web コンソールではオブジェクトを移動できません。代わりに、ポリシーオブジェクトをさまざまな方法でサブポリシーに分散できます。ただし、サービス定義はサブポリシー間で分割することを目的としていないため、Shared サブポリシー内には、別のサブポリシー内のサービス記述子へのルーティングを行うハンドラが必要になります。

Shared 内に定義されているリソースは、他のサブポリシーから使用できますが、Shared のリソースの変更は、Shared サブポリシー以外からは行えません。Shared 内のリソースを変更するには、他のサブポリシーと同様に、Web コンソールで、Shared をアクティブ サブポリシーにする必要があります。

前述のように、他のサブポリシー内のオブジェクトでは、Shared 内のオブジェクトを使用できます。したがって、Shared は、複数のサブポリシー間で使用する必要があると思われるオブジェクト(HTTP(S)ポート 80 および 443、認証局、共通のバックエンド HTTP サーバなど)を保持する便利な場所になります。

サブポリシーから Shared サブポリシーに対するオブジェクトの依存関係を安定させるため、他のサブポリシーでは、導入したバージョンの Shared だけが認識されます。Shared のリソースを他のサブポリシーで使用可能にする、または、Shared 内での変更が他のサブポリシーで認識されるようにするには、最初に、Shared から導入する必要があります。導入が完了するまで、Shared 内のオブジェクトは他のサブポリシーでは使用できません。

サブポリシーの作成

サブポリシーを作成するには、次の手順に従います。


ステップ 1 コンソールの Administrator 権限を持つユーザとして、アクティブ サブポリシーを Shared に設定します。

新しいサブポリシーを作成するには、Shared がアクティブ ポリシーである必要があります。アクティブ サブポリシーを示すナビゲーション バーの名前が Shared 以外である場合は、[Switch] ボタンを使用して Shared をアクティブ サブポリシーにします。[Switch] ボタンを使用しても Shared サブポリシーが表示されない場合、そのユーザは、この作業を実行するために十分なアクセス権限を持っていません。

ステップ 2 操作メニューで、[Subpolicies] リンクをクリックします。

[Subpolicies] リンクが操作メニューに表示されていない場合は、Administrator 権限を持っていないユーザとしてログインしています。サブポリシーを作成するには、ユーザが管理者である必要があります。

ステップ 3 [Subpolicies] ページの [Create a New Subpolicy] ボタンを押します。

ステップ 4 [New Subpolicy] ページの [Subpolicy Name] フィールドに、新しいサブポリシーの一意の名前を入力します。

ステップ 5 [Save Changes] をクリックします。


 

[Subpolicies] ページに、新しいサブポリシーの名前が表示されます。この時点ですぐに、このサブポリシーに切り替えて、オブジェクトの導入を開始できます。

また、Web コンソール ユーザによる新しいサブポリシーへのアクセスを有効にすることも必要です。Web コンソール管理者は、ユーザのアカウント設定で、特定のサブポリシーまたは「 任意のサブポリシー 」にユーザがアクセスできるように設定できます。「任意のサブポリシー」にアクセスできるように設定されたユーザには、各自が作成した新しいサブポリシーへのアクセスが自動的に付与されます。一部のサブポリシーへのアクセスが付与されたユーザの場合は、必要に応じて [User Administration] ページからアカウントを変更し、新しいサブポリシーを追加する必要があります。

アクティブ サブポリシーの変更

サブポリシーを作成した後に、そのサブポリシーに対する作業を開始する場合は、コンソール最上部の [Switch] ボタンを使用して、サブポリシーをアクティブにできます。

コンソールに [Switch] ボタンが表示されるのは、ポリシー内に複数のサブポリシー(Shared を除く)が存在し、かつ、現在ログインしているユーザが、複数のサブポリシーへのアクセス権限を持っている場合だけです。

ユーザが特定のサブポリシーをアクティブにすると、そのユーザのログイン間においてアクティブなままになります。つまり、ログアウト後に再びログインすると、アクティブにしたサブポリシーは、その時点でもコンソールにおいてアクティブなままになっています。

サブポリシーからの導入

サブポリシー内のオブジェクトを導入するには、サブポリシーをアクティブにし、標準の導入手順を使用して導入を完了します。


) サブポリシーを導入するには、導入対象となるサブポリシーだけではなく、Shared へのアクセス権限が必要です。


サブポリシー内からの導入では、そのサブポリシーのコンテンツだけが Gateway に反映され、Shared を含む他のサブポリシー内のオブジェクトは反映されません。

承認ベースの導入が有効な場合を除き、一般的には、同時に導入できるのは 1 つのポリシーだけです。承認ベースの導入が有効な場合、管理者は、導入について承認済みであるすべてのサブポリシーを同時に導入できます。

サブポリシーの削除

[Subpolicies] ページのサブポリシーの横にある [remove] リンクをクリックすると、サブポリシーを削除できます。

サブポリシーを削除するには、そのサブポリシーが空である必要があります。また、削除するサブポリシーに、仮想サービス、オーセンティケータ、または他のポリシー オブジェクトを含めることはできません。サブポリシーからオブジェクトを削除する最も簡単な方法は、目的のサブポリシーに切り替えてから、そのポリシーをリセットすることです。つまり、サブポリシーを作成した後にアクティブ ポリシーを削除する場合は、[Policy Manager] リンクをクリックします。次に、Policy Manager の [Manager Policy] エリアの [Reset Policy] ボタンをクリックして、ポリシーのリセット プロセスを完了します。

完了したら、[Shared] サブポリシーを再びアクティブにし、[Subpolicies] ページからのサブポリシーの削除を試みます。削除を確認すると、サブポリシーはただちにコンソールから削除されます。

サブポリシー間でのオブジェクトのコピー

ACE XML Manager では、コンソールを使用することにより、異なるサブポリシー間でポリシー オブジェクトをコピーできます。この機能は、複数のサブポリシー間でのオブジェクトの再構成や、異なるサブポリシーを使用するポリシー環境間でのオブジェクトの移行などを可能にすることを、主な目的としています。

サブポリシー間でのオブジェクトのコピーは、Portable Policy Format(PPF)のインポート/エクスポート メカニズムを使用して行えます。PPF のインポート プロセスでは、ソース PPF のオブジェクトが Manager のターゲット サブポリシーに移行されます。つまり、一般的には、ターゲット サブポリシー内に存在するオブジェクトの中で、ソース PPF に含まれていなかったオブジェクトは、インポートされたオブジェクトとともに保持されます。

PFF のインポート/エクスポート プロセスは、いくつかのモードで実行できます。1 つのモードでは、ソース サブポリシーとターゲット サブポリシーの名前が一致した場合に限り、PPF ファイルからサブポリシーがインポートされます。別のモードでは、ソース サブポリシーと ターゲット サブポリシーが異なる場合であっても、サブポリシーがインポートされます。これにより、サブポリシー間でオブジェクトを移動または移行できます。この例を図 30-2 に示します。

図 30-2 1 つのサブポリシーから別のサブポリシーへのインポート

 

図 30-2 に示すインポート例では、ソース PPF が Shared サブポリシーから生成されたものであると予想されます。そのコンテンツが、サブポリシー mySubpol3 にインポートされています。ただし、ターゲット サブポリシーをインポート先とする場合に、そのターゲット サブポリシーを Manager の Web コンソールでアクティブにする必要はありません。

ソース PPF に Shared 以外のサブポリシーが含まれている場合は、他のインポート オプションが適用されます。Shared 以外のサブポリシーからインポートする場合は、ユーザ定義サブポリシーのオブジェクトだけではなく、Shared のオブジェクトを PPF ファイルに含めることができます。PPF からインポートする場合は、移行時に Shared のコンテンツも含めるオプションを選択できます。選択した場合は、図 30-3 に示すように、両方のソース サブポリシーがターゲット サブポリシーに移行されます。

図 30-3 Shared およびサブポリシーからの別のサブポリシーへのインポート

 

次の各セクションでは、サブポリシー間でオブジェクトを移動することによりポリシーを再構成し、ポリシー オブジェクトを移行する手順について説明します。

ポリシーの再構成

多くの場合、1 つのサブポリシーには、1 つのサブポリシーを適切に割り当てることができます。ただし、ポリシーが増大するにつれて、複数のサブポリシーに基づいた、より適切なポリシー構成モデルの必要性が生じることが多くあります。

次の手順では、サブポリシーごとのポリシーのコンテンツを再構成する一般的な手順について説明します。ここでは、同じ Manager 上のユーザ定義サブポリシーに Shared のオブジェクトを移動します。ただし、この手順は、誤って配置したオブジェクトをサブポリシー間で単に移動する場合にも該当します。

PPF ファイルのエクスポートおよびインポートの背景説明を含む詳細な手順については、「PPF ファイルによるポリシーのエクスポートおよびインポート」を参照してください。

サブポリシーのコンテンツを移動する一般的な手順は、次のとおりです。


ステップ 1 Manager のアクティブ サブポリシーを、オブジェクトの移動元となるサブポリシーに切り替えます。Shared のオブジェクトをサブポリシーに移動して再構成するには、事前に、Shared をアクティブ サブポリシーにします。

ステップ 2 [Policy Manager] ページで、エクスポートするポリシー バージョンの横にある [Export] ボタンをクリックして、ポリシーを PPF ファイルにエクスポートします。

まだ導入していない作業ポリシーをエクスポートするには、事前に、そのポリシーをポリシー履歴に保存する必要があります。

ステップ 3 オブジェクトの移動先となるサブポリシーを選択します。必要な場合は、新しいサブポリシーを作成します。この移動先は、同じ Manager インスタンス上または異なる Manager インスタンス上のどちらでもかまいません。適切な Manager にログインし、ターゲット サブポリシーに切り替えます。

ステップ 4 Policy Manager で、[Import Saved Policy] ボタンをクリックします。


) ポリシーのインポートおよびエクスポートの詳細については、「PPF ファイルによるポリシーのエクスポートおよびインポート」を参照してください。


ステップ 5 [Upload Policy File] ページで、ソース サブポリシーから生成した PPF ファイルにブラウズします。

ステップ 6 [Import the contents of the subpolicy in the PPF into "[ターゲット サブポリシー]"] というラベルのボタンを選択します。このオプションを選択すると、ソース とターゲット のサブポリシーの名前が異なる場合であっても、オブジェクトがインポートされます。

ターゲット環境に複数のサブポリシーがある場合は、ドロップダウン メニューから目的のターゲット サブポリシーを選択します。通常これは、Shared からのオブジェクトの移動先となる新しいサブポリシーです。

図 30-4 インポート先の選択

 


) メニューに表示されるのは、現在のコンソール ユーザがアクセス権限を持っているサブポリシーだけです。


ステップ 7 Shared(ソース ファイルに存在する場合)のコンテンツをインポートに含めるか、または除外するかを選択します。Shared からユーザ定義サブポリシーに再構成する場合は、[Include the contents of the PPF's "Shared" subpolicy in the import into "[ターゲット サブポリシー]"] というラベルのオプションを必ず有効にします。

PPF を Shared から生成した場合に、Shared のコンテンツを除外する最初のオプションを選択した場合は、何もインポートされません。

ステップ 8 [Upload Policy File] をクリックします。

ステップ 9 [Import Options] ページで、ターゲット サブポリシーにインポートするハンドラ グループを選択します。Shared サブポリシーに最初から含まれていたサービス定義から、ターゲット サブポリシーに移動するサービス定義を選択します。

再構成の場合には、使用可能なハンドラ グループの一部をインポート対象として選択し、この時点でインポートしないハンドラ グループを、他のサブポリシーに後でインポートすることが多くあります。

ステップ 10 PPF のインポートが完了したら、ソース サブポリシー(この場合は Shared)のオブジェクトを手動で削除します。これで、ソース サブポリシーからターゲット サブポリシーへのオブジェクトの移動が完了します。

ステップ 11 Shared とターゲット サブポリシーから導入を行い、Gateway のポリシーに変更を反映します。さらに、エラーが生じることなくポリシーがコンパイルされ、導入されていることを確認します。


 

ユーザ定義サブポリシーと Shared サブポリシーを含む PPF からインポートする場合は、Shared をインポートするか、または、ユーザ定義サブポリシー内のオブジェクトだけをインポートするかを選択できることに注意してください。

ポリシー オブジェクトの移行

実際のトラフィックが存在する実稼動環境にポリシーを配置する前には、通常、徹底したテストが必要です。このような理由から、実稼動への昇格前には、テスト環境においてポリシーの導入とテストを行ことが多くあります。「ポリシーの再構成」で説明した手順は、ポリシーの再構成だけではなく、ポリシーの移行にも使用できます。ポリシーの移行は、作成アーティファクトが 1 つの環境を卒業し、そのライフ サイクルにおける別の環境に移行するためのプロセスです。たとえば、作成環境から QA 環境に移行する場合や、QA 環境から実稼動環境に移行する場合などがあります。ソース環境(作成環境など)からインポートしたポリシーを使用して、ターゲット環境(実稼動環境など)に 種をまいた 後には、エクスポート/インポート プロセスを準備して、そのポリシーに以降の変更を反映できます。

ポリシー オブジェクトを更新する機能は、エクスポート/インポート プロセスを使用してターゲット ポリシー内に作成されたオブジェクトだけに適用されます。ターゲット ポリシー内でオブジェクトを手動で作成した場合、ACE XML Manager では、それぞれのポリシー内のオブジェクトの名前が同じであったとしても、手動で作成したオブジェクトをソース(テストまたは作成)ポリシー内の対応するオブジェクトに関連付けることができません。PPF メカニズムを使用してオブジェクトをインポートした場合は、ソース ポリシーおよびターゲット ポリシー内のオブジェクト間の関連付けが保持されます。また、元のオブジェクトがソース サブポリシー内に保持されている場合は、そのオブジェクトを後でターゲット ポリシーに適用できます。したがって、オブジェクトのコピー手順をポリシー移行の基本として使用できます。必要な場合は、PPF のエクスポート/インポート手順を使用して、ソース オブジェクトへの変更をターゲット環境に適用できます。

ソース サブポリシーとターゲット サブポリシーは異なっていても構わないため、たとえば、特定の作成環境内のすべての実稼動ポリシーを複製する必要なく、各環境に合わせてサブポリシーを適切に構成できます。図 30-5 に例を示します。

図 30-5 PPF のエクスポート/インポートによるポリシーの移行

 

サブポリシー同士は異なりますが、このメカニズムを使用した更新が機能するためには、ソース オブジェクトとターゲット オブジェクトの名前が同じである必要があります。つまり、ターゲット オブジェクトは、ソースからのエクスポート後に、ターゲット環境にインポートすることによって作成されている必要があります。

2 つのオブジェクトが複製である場合(名前が同じ場合など)であっても、その 2 つのオブジェクトが個別に作成されている場合は、この更新機能の対象外となります。

ポリシー移行目的での PPF のエクスポート/インポートを実行する手順は、「ポリシーの再構成」の項で説明した手順に似ています。大きな違いは、ソース サブポリシー内の元のオブジェクトを保持する必要がある点です。元のオブジェクトを保持すれば、手順を繰り返すことにより、元のオブジェクトへの以降の変更を実稼動環境に反映できます。また、この手順は環境間でも使用できるため、1 つの ACE XML Manager から別の ACE XML Manager へ、または Gateway のクラスタ間でオブジェクトをコピーおよび更新できます。

ただし、ネットワーク環境間でポリシーを移行する場合には、一部の設定の変更が必要になる場合があります。たとえば、作成環境の ACE XML アプライアンスでは、仮想化された実際のバックエンド サービスにアクセスできない場合があります。また、一部のタイプのテスト(パフォーマンス テストなど)は、実稼動レベルのインフラストラクチャに悪影響を与える場合があります。したがって、昇格の前には、バックエンド サービスの設定と他の設定の変更が必要になる場合があります。

変更が必要になる場合があるポリシー設定は、次のとおりです。

秘密鍵(一般的に、公開/秘密鍵ペアはホスト固有であるため)。

クライアントが、Gateway での仮想サービスのアドレッシングに使用する公開ホスト名(このホスト名は、生成された Web Services Description Language(WSDL)ファイルで確認できますが、新しい環境からの WSDL ファイルの再生成と公開が必要になる場合があります)。

作成環境のネットワークと実稼動環境のネットワークでは、一部のタイプのサービス(LDAP サービス、バックエンド サービス プロバイダーなど)の可用性が異なる場合があります。これらのタイプのリソースの接続設定は、移行時に変更する必要がある場合があります。

PPF ファイルによるポリシーのエクスポートおよびインポート

[Policy Manager] ページでは、導入済みポリシー、承認済みポリシー、または [Policy History] の任意のポリシーをエクスポートできます。ポリシーをエクスポートすると、すべてのポリシー オブジェクトが外部形式に変換され、そのデータがファイルに書き込まれます。このファイルには、Portable Policy Format と呼ばれる独自の形式(拡張子は .ppf )が使用されます。

このファイルを使用して、ファイルを別の ACE XML Manager にロードして転送を行い、ターゲットの Manager によって制御されている ACE XML Gateway にポリシーを導入できます。また、PPF ファイルを使用して、バックアップ目的でのポリシーのバックアップを作成することもできます。

エクスポート/インポート プロセスを使用すると、ポリシー コンポーネントを選択して移動できます。つまり、ポリシー全体をエクスポートする必要はありません。エクスポート時には、エクスポートするハンドラ グループを選択するオプションがあります。ユーザが選択したハンドラ グループ内のハンドラとともに、ハンドラ グループが参照するオブジェクト(証明書、サーバ オブジェクトなど)もエクスポートされます。

特定のサブポリシーをエクスポートする際に、ソース サブポリシーが Shared サブポリシー以外のサブポリシーである場合は、Shared のエレメントをエクスポートに含めることもできます。インポート時には、ソースからコンテンツをインポートするオプションに加えて、Shared の内容を含めるか、または除外するかを選択するオプションがあります。

PPF へのポリシーのエクスポート

ポリシーをファイルにエクスポートするには、次の手順に従います。


ステップ 1 Administrator ユーザまたは Operations ロールを持つ Privileged ユーザとして、エクスポートするサブポリシーをアクティブにします。

ステップ 2 操作メニューの [Policy Manager] リンクをクリックします。

ステップ 3 Policy Manager で、アーカイブするポリシーの横にある [Export] ボタンをクリックします。現在導入されているバージョンのポリシー、またはポリシー履歴に保存されているバージョンのポリシーをエクスポートできます。


) 現在の作業ポリシーをアーカイブするには、最初に [Save To History] をクリックして、作業ポリシーをポリシー履歴に保存する必要があります。次に、保存したポリシー バージョンをアーカイブできます。


[Export Policy] ページが表示されます。

図 30-6 [Export Policy]

 

ステップ 4 [Filename] フィールドに、生成したポリシー アーカイブ ファイルの名前を入力します。説明があるポリシー バージョンからのエクスポートの場合は、その説明に基づくデフォルトの名前が生成されます。名前に .ppf 拡張子を追加する必要はありません。拡張子はファイル名に自動的に追加されます。

ステップ 5 ポリシーに公開/秘密鍵ペアのリソースが含まれている場合は、エクスポートしたファイルに公開/秘密鍵ペアのリソースを含めるためのチェックボックスが表示されます。このようなリソースはきわめて機密性が高いため、このデフォルト設定は無効になっています。ただし、公開/秘密鍵ペアのリソースを含めない場合は、オブジェクトのリソースの参照を手動で変更しない限り、そのリソースに依存するエクスポート済みオブジェクトが適切に機能しなくなります。

これらのリソースをファイルに含める場合は、[Include Public/Private Keypair Resources] というラベルのオプションを選択します。

ステップ 6 任意で、アーカイブに含めないハンドラ グループのチェックを解除します。

すべてのサービス定義をエクスポートする代わりに、選択したハンドラ グループをエクスポートできます。エクスポートに含まれないハンドラ グループは、ポリシーのインポート時に作成されません。

[Check All] リンクおよび [Uncheck All] リンクを使用すると、すべてのハンドラ グループを含める、または除外する操作を簡単に行えます。

ステップ 7 [Export Policy] をクリックします。

指定したファイルを使用して、アーカイブ ファイルが作成されます。

ステップ 8 ダイアログボックスで、ファイルを保存する場所を選択し、[OK] をクリックしてアーカイブ ファイルを保存します。


 

これで、ポリシーが .ppf ファイルとして保存されました。このファイルは、他の Manager 環境または別のサブポリシーにインポートできます。

ポリシーのインポート

ACE XML Manager に Portable Policy Format (.ppf)ファイルをインポートすると、Manager の Web コンソールにおいてファイルが復元されます。これにより、ファイルの変更や ACE XML Gateway へのファイルの導入を行えます。ポリシーのエクスポートと同様に、ポリシーの一部を選択してインポートできます。ポリシーの一部をインポートした場合は、(既存の設定を完全に置き換えるのではなく)そのポリシーの変更が既存のポリシーに含まれるように、インポートしたポリシーを既存のポリシーに統合できます。

PPF 内のオブジェクトが作業ポリシー内のオブジェクトと同じである場合(オブジェクト名が同じ場合など)は、その PPF が作業ポリシーからのエクスポートによって生成されたものではない限り、作業ポリシー内に複製オブジェクトが作成されます。詳細については、「ポリシー オブジェクトの移行」を参照してください。ほとんどの場合、ポリシーのインポート プロセスは、空のターゲット ポリシーに対して使用するか、または、新しいオブジェクトをポリシーに導入するために使用します。

ローカル ファイル システムから .ppf ファイルをインポートするには、次の手順に従います。


ステップ 1 操作メニューの [Policy Manager] リンクをクリックします。

ステップ 2 Policy Manager の [working policy] セクションにある、[Import Saved Policy] ボタンをクリックします。

[Step 1 of 3: Upload Policy File] ページが表示されます。

ステップ 3 ファイルのパスを [Policy File] フィールドに入力するか、または、ファイル選択ダイアログでファイルをブラウズして、インポートする .ppf ファイルを指定します。

ステップ 4 [Do not show detailed content of subpolicies] を設定できます。これを設定すると、以降のインポート ポリシー ページに通常表示される詳細のレベルが低くなります。このオプションを選択しない場合は、インポートするサブポリシーのリストが次のページに表示されます。選択した場合、サブポリシーのハンドラ グループのリストは表示されず、選択したサブポリシーのすべてのハンドラ グループがインポートされます。また、このオプションを選択すると、インポート手順による変更のリストが折りたたまれます。詳細な情報を表示するには、特定のサブポリシーのエキスパンダ コントロールをクリックします。

ステップ 5 [Upload Policy File] ボタンをクリックします。

[Step 2 of 3: Import Options] ページが表示されます。

ステップ 6 PPF を生成した方法によっては、PPF に複数のサブポリシーのコンテンツを含めることができます。[Import Mode] 設定で、インポートにおけるサブポリシーの処理方法を選択します。オプションは次のとおりです。

[Import the contents of the selected subpolicies in the PPF into the subpolicies with the same name]

このオプションを使用すると、PPF 内で選択した複数のサブポリシーのコンテンツを、1 回の操作でターゲット サブポリシーにインポートできます。PPF の各サブポリシーにおけるインポート手順は、次のとおりです。

現在のポリシー内に同じ名前のサブポリシーがあり、かつ、そのサブポリシーにアクセスできる場合は、PPF 内のサブポリシーのコンテンツが、現在のポリシーの同じ名前のサブポリシーにインポートされます。

現在のポリシーに同じ名前のサブポリシーが存在しない場合は、同じ名前の新しいサブポリシーが作成され、PPF 内のサブポリシーのコンテンツが、作成されたサブポリシーにインポートされます。


) 新しいサブポリシーを作成するには、管理者としてログインする必要があります。


ソース サブポリシーとターゲット サブポリシーの名前が異なっており、同じ名前の新しいサブポリシーを作成するための Administrator 権限を持っていない場合は、何もインポートされません。

[Import the contents of the selected subpolicies in the PPF into "[サブポリシー名]"]

ソース サブポリシーとターゲット サブポリシーの名前とは関係なく、PPF 内の選択したサブポリシーのオブジェクトが、ターゲット サブポリシーに移動されます。このオプションを選択することにより、オブジェクトを異なるサブポリシー間で移動できます。

アクセス権限を持つターゲット環境に複数のサブポリシーがある場合は、そのサブポリシーがドロップダウン メニューに表示されます。メニューからターゲット サブポリシーを選択します。

ステップ 7 任意で、インポートしないオブジェクトのチェックを解除します。

[Import Options] ページのチェックボックスを使用すると、ハンドラ グループまたはオブジェクト タイプに従ってオブジェクトを選択できます。


) ターゲット ポリシーにカスタム コンテンツ スクリーニング ルールが含まれており、コンテンツ スクリーニング ルールをインポートに含めた場合は、インポートしたポリシーによってカスタム ルールが上書きされます。実際には、カスタム ルールが含まれていないポリシーをインポートした場合、カスタム コンテンツ スクリーニング ルールは削除されます。カスタム ルールが上書きされないようにするには、カスタム スクリーニング ルールのチェックボックスの選択を解除します。


そのポリシーのオブジェクトが不要であると確信できる場合を除き、このボックスはチェックしたままにしてください。オプションのデフォルト設定では、すべてのオブジェクトがインポートされます。

ステップ 8 [Import Policy] ボタンをクリックします。

[Merge with Working Policy] ページでは、[Policy Comparison] 表示により、ポリシーのインポートによって生じる変更が示されます。

ステップ 9 任意で、ポリシー オブジェクトへの個々の変更を拒否します。

ポリシー オブジェクトの横に表示されているボックスのチェックマークを解除することは、ACE XML Manager において、そのチェックボックスに示された変更が実行されないことを意味します。変更を受け入れる、または拒否するかを判断できない場合は、デフォルト設定を使用してください。

ステップ 10 [Save Changes] ボタンをクリックします。


 

Policy Manager の [Recent Saved Policy Versions] セクションに、新たにインポートしたポリシーが表示されます。これで、ポリシーのインポートによって生じた新しいオブジェクトや他の変更が、ACE XML Manager の Web コンソールに表示されます。

その他のポリシー管理作業

この項では、ポリシー管理に該当する、その他の管理作業(policy manager 内でのポリシーの保存、ポリシーの比較の実行など)について説明します。

アーカイブ履歴へのポリシーの保存

Policy Manager では、ポリシーの過去のバージョンの復元、表示、および比較を行えます。

ポリシーを導入すると、Gateway に導入したポリシー バージョンが、ポリシー アーカイブに自動的に入力されます。また、現在の作業ポリシーを手動で保存することもできます。これは、たとえば、導入中のポリシーの保存ポイントを維持する場合に役立ちます。

現在の作業ポリシーをポリシー履歴に手動で保存するには、次の手順に従います。


ステップ 1 Administrator ユーザまたは Operations ロールを持つ Privileged ユーザとして、Web コンソールにログインします。

ステップ 2 アクティブ サブポリシーを [Shared] サブポリシーに設定します。

[Dashboard] ページの最上部にあるナビゲーション バーの [Switch] ボタンの左に、[Shared] が表示されます。

ステップ 3 操作メニューの [Policy Administration] セクションで、[Policy Manager] リンクをクリックします。

[Policy Manager] ページが表示されます。

ステップ 4 [Version Description] フィールドに、作業ポリシーの詳細説明を入力します。

できる限り詳細な説明を入力することを推奨します。この説明は、作成される可能性がある他の多くのポリシーと、このポリシーを区別するための唯一の情報になります。

ステップ 5 [Save to History] ボタンをクリックします。


 

一意の名前、タイムスタンプ、および入力した説明とともに、アーカイブしたポリシーが [Recent Saved Policy Versions] および [Policy History] のログに表示されます。

ポリシー項目の横に表示されたコントロールを使用することにより、ポリシーに対する次のような他の操作を指定できます。

コンソール内のアーカイブ済みポリシーを表示する。

現在の作業ポリシーをアーカイブ済みポリシーにロールバックすることにより、ポリシーを復元する。

ポリシーをエクスポートすることにより、ポリシーを .ppf ファイルとしてローカル ディスクにコピーする。

ポリシーの復元

予期しない影響を及ぼす作業ポリシーに変更を加える場合があります。その際、誤ってサービスを無効にしたり、元に戻すためには多くの労力を要する設定を削除してしまったと気付くこともあります。アーカイブ済みポリシーの最も一般的な用途の 1 つは、機能することがわかっているポリシーの状態を保存することにより、このような問題からユーザを守ることです。

アーカイブ済みポリシーをロードし、導入することにより、ACE XML Gateway の以前に機能していた状態を取り戻すことができます。このプロセスを、ポリシーの 復元 または ロールバック と呼びます。


注意 アーカイブ済みポリシーを復元すると、その すべての設定により、現時点で有効なすべての設定が置き換えられます。これは、たとえば、現在のポリシーにより、復元したポリシーでは定義されていないサービスが提供される場合、または、復元したポリシーにおいて、置き換えられるポリシーに定義された一部のオーセンティケータが足りない場合は、一部のお客様が、いくつかのサービスを失う場合があります。ポリシーを復元する前に、サービス記述子、ルータ、オーセンティケータなどのどのポリシー オブジェクトが変更される可能性があるかを確認し、必要なすべてのサービスが適切に復元されたことを確認するための、復元結果の設定やログを調べる時間がかかることを覚えておく必要があります。

ポリシーを復元するには、次の手順に従います。


ステップ 1 Administrator ユーザまたは Operations ロールを持つ Privileged ユーザとしてコンソールにログインし、アクティブ ポリシーを [Shared] サブポリシーに設定します。

ステップ 2 操作メニューの [Policy Administration] セクションで、[Policy Manager] リンクをクリックします。

ステップ 3 [Policy Manager] ページで、復元するポリシーを探します。

ACE XML Manager では、[Policy Manager] の最下部にある [Recent Saved Policy Versions] 履歴にポリシーがアーカイブされます。さらに過去のアーカイブを表示するには、ポリシー履歴の見出しの [View Full History] リンクをクリックします。

ACE XML Gateway インスタンスから削除されているポリシーを復元するには、最初に、[working policy] セクションの [Import] ペインにある [Import Saved Policy] ボタンを使用して、オフライン ストレージからポリシー アーカイブ ファイルをアップロードする必要があります。アップロード後には、そのポリシーがポリシー アーカイブのリストに表示されます。

ステップ 4 別の Gateway インスタンスにポリシーをアーカイブした場合は、復元する前にポリシーを統合する必要があります。

ステップ 5 コンパイルと導入を行うため、[Import Policy] ボタンをクリックして、ACE XML Manager の Web コンソールにポリシーをロードします。

アーカイブ済みポリシーによって定義された設定およびオブジェクトにより、ACE XML Manager に現在定義されている設定/オブジェクトが置き換えられます。

ステップ 6 [Deploy] ボタンをクリックして、通常の導入プロセスを開始します。


 

ACE XML Manager により、アーカイブ済みポリシーのコンパイルと導入が実行され、そのポリシーが、ACE XML Gateway インスタンスにおける現在のアクティブ ポリシーになります。

ポリシー バージョンの比較

[Policy Comparisons] ページ(図 30-7)には、2 つのポリシー バージョン間での違いが表示されます。このページは、ポリシー導入におけるさまざまな時点(ポリシーの導入時など)で自動的に表示されます。また、Policy Manager を使用して、ポリシーの 2 つのバージョンを手動で比較することもできます。Policy Manager では、ポリシー履歴リストから、ポリシーの以前の任意の 2 つのバージョンを比較できます。ポリシーのバージョンの保存は、それぞれの導入時、および [Save To History] ボタンを使用して、ポリシーを直接保存した際に実行されます。

図 30-7 [Compare Policies] ページ

 

図に示すように、[Policy Comparison] ページでは、2 つのポリシー バージョン間での違いが次のアイコンによって示されます。

青のプラス記号は、新しいポリシーによって追加されたオブジェクトを示します。

赤の×は、削除されたオブジェクトを示します。

オレンジの感嘆符は、変更されたオブジェクトを示します。

ポリシーを手動で比較するには、次の手順に従います。


ステップ 1 操作メニューの [Policy Manager] リンクをクリックして、Policy Manager にアクセスします。

ステップ 2 現在の作業ポリシーと ACE XML Gateway に導入されているポリシーを比較するには、[Compare to Deployed] ボタンをクリックします。このボタンは、ページの [working policy] エリアの [Review] ラベルの横に表示されています。

ステップ 3 履歴リスト内の 2 つのポリシー バージョンを比較するには、ポリシー アーカイブの見出し([Recent Saved Policy Versions])の横にある [Compare Policies] リンクをクリックします。

ステップ 4 [Select Policy Versions] ページで、比較するポリシー バージョンをクリックします。

最初のフィールドには、比較ページでポリシー A と表示されていたポリシーが記載されており、下のフィールドにはポリシー B が記載されていることに注意してください。

ステップ 5 [Compare Policies] をクリックします。

[Compare Policies] ページに、選択したポリシーの違いが表示されます。選択したポリシー バージョンは、ページの最上部に表示されます。

ステップ 6 他のポリシーのバージョンを比較するには、[Go Back] ボタンをクリックします。


 

管理者がポリシーを確認する際には、同じ [Policy Comparisons] ページを表示することにより、同様の方法で、ポリシーの変更を受け入れまたは拒否できます。これにより、ポリシーを承認する前に、問題を起こす可能性がある変更を拒否できます。最終的な承認済みポリシーには、管理者が受け入れた変更だけが採用されます。

ポリシー確認の自動化

ACE XML Manager では、特定の承認済みポリシーまたは作業ポリシーの確認を自動的に実行できます。これにより、セキュリティ上の問題や整合性の問題を調べることができます。[Policy Manager] ページの [Approved] ペインおよび [-- working policy --] ペインには、[Policy Review] ボタンがあります。

このボタンをクリックすると、ACE XML Manager により、指定したポリシー バージョンが確認され、潜在的な問題が発見された場合は、その情報を示す警告が表示されます。この警告の情報に従ってポリシーを編集することにより、問題を修正できます。

ポリシー変更の破棄

最初にインストールされた状態からの、ポリシーに加えられたすべての変更を破棄するには、 Policy Manager の [Manager Policy] エリアにある [Reset Policy] ボタンをクリックします。

ACE XML Manager により、操作時の [compare changes] ページに表示されたように、ポリシーが最初の空の状態として復元されます。すべての変更を破棄しても構わないと確信できる場合にだけ、続行してください。

[Reset Policy] ボタンをクリックすると、そのポリシーに加えられたすべての変更が破棄されます。また、この操作は元に戻すことはできないため、細心の注意を払ってください。

ポリシーの統計情報

[Policy Statistics] ページには、サブポリシーの総数、ポリシー全体の各サブポリシー内のコンポーネントの総数、ポリシー履歴の記録の数、およびクラスタ サイズが表示されます。いずれかの値が推奨最大値を超えた場合は、警告メッセージが表示されます。

推奨値は次のとおりです。

総サブポリシー:100

サブポリシーごとの最大コンポーネント数:1000

ポリシー内の総コンポーネント:10000

履歴内の最大記録数:5000

クラスタ サイズ:1024 MB

「コンポーネント」とは、Manager の内部オブジェクトを意味します。表示可能なオブジェクトの数は、内部オブジェクトの数よりも少なくなります。たとえば、1 つの仮想サービスは、ハンドラ、サービス、および アクセス プロビジョンの 3 つのコンポーネントによって構成されています。また、Shared サブポリシー内の多くのデフォルト コンポーネント(プリファレンス、コンテンツ セキュリティ ルール、基本設定など)も、ポリシーの統計に影響します。

「クラスタ サイズ」の用語は、クラスタ データによって占められたディスク容量の大きさを意味します。

ポリシー履歴のクリア

ディスク上のポリシー アーティファクトのサイズは、特に、ポリシー履歴にポリシー バージョンを追加するつれて、時間の経過とともに増大する傾向があります。最終的には、ポリシーのサイズにより、システム リソースの問題が発生する可能性があります。この機能を使用すると、保存済みの表示されていない古いポリシーを履歴から削除し、同時に、ポリシーに関連するすべてのポリシー コンポーネントを削除することにより、ディスク容量の空きを確保できます。

[Clean History] ページには、ポリシー履歴(サブポリシーごとの項目の数)およびクラスタによって占められているディスク容量が表示されます。

ポリシー履歴のクリアは、次の 2 つのオプションを使用してカスタマイズできます。

[Trim history t o]:残す必要がある、最近保存されたポリシー 履歴ファイルの数。これ以前に追加された履歴ファイルが、ポリシーから削除されます。

[Mode]:Manager にサブポリシーがある場合は、このオプションを使用することにより、現在のサブポリシーだけの履歴ファイルをクリアするか、または、すべてのサブポリシーの履歴ファイルをクリアするかを指定できます。

パラメータを選択してから [proceed] ボタンを押すと、次の [Preview changes] ページが表示されます。


警告 ポリシーの消去プロセスを元に戻すことはできません。以前に保存したポリシーに戻す必要性が生じる可能性があると思われる場合は、ポリシーのバックアップ コピーがアーカイブ済みであることを確認してください。プロセスを確定すると、消去プロセスが開始されます。


システムをバックアップするには、次の手順に従います。


ステップ 1 バックアップするアプライアンスのアプライアンス シェルにアクセスします。

ステップ 2 [Advanced Options] > [Run Bash] の順に選択します。

ステップ 3 次のように backup コマンドを使用して、バックアップ ファイルを作成します。

backup -all <filename>

上記のコマンドでは、filename はバックアップ アーカイブの保存先となる tgz ファイルの名前です。次に例を示します。

backup -all applianceBackup.tgz

-all スイッチを指定すると、ネットワークおよび Gateway の設定値、ポリシー ファイルストア、ログ ファイルを含め、すべてのデータがバックアップされます。代わりに、次に示すコマンド スイッチを使用すると、指定したデータ部分だけをバックアップすることができます。

backup -filestore applianceBackup.tgz

filestore スイッチを指定すると、ログ情報を除くすべてのデータがバックアップされます。ログ データだけをバックアップする場合は、 -userlog (イベント ログ)、 -auditlog 、または -traffic スイッチを使用します。

コマンド オプションを指定しなかった場合には、ネットワークおよび Gateway の設定だけがバックアップされます。

詳細については、『Cisco ACE XML Gateway Administration Guide』の「Backing Up and Restoring the System」を参照してください。

ステップ 4 プロセスが完了すると、結果を示す最後のページが表示されます。


 

サブポリシー間の関係により、残っているポリシー項目の実際の数は、指定した数よりも多くなる場合があります。たとえば、次のポリシー項目は消去プロセス中には削除されません。

最初に承認されたポリシー、前回承認されたポリシー、前回導入されたポリシー。

承認のために送信されたポリシー(2 段階導入において必要)。

ID によるポリシー コンポーネントの検索

この機能を使用すると、コンポーネントの場所のサブポリシーにかかわらず、ID に基づいてポリシー コンポーネントの場所を特定できます。通常、コンポーネント ID は、サービス要求の処理中に例外が発生した際に送信される例外通知電子メールに記載されます。これは、たとえば、例外メッセージと関係がある仮想サービスやハンドラをすばやく探す際に役立ちます。

検索を実行するには、[Policy Manager] ページのフィールドで 16 進数の数字の ID を入力します。コンポーネントを表示する権限がある場合は、前回導入されたポリシー内の検索が実行されます。コンポーネントにアクセスする権限がない場合は、情報メッセージにより、コンポーネントの場所が示されます。コンポーネントが見つからない場合は、「object missing」というエラーが表示されます。