Cisco ACE XML ゲートウェイ インストレーション アドミニストレーションガイド Software Version 5.1
その他の管理作業
その他の管理作業
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 597KB) | フィードバック

その他の管理作業

バージョン情報の取得

  • すべての ACE XML アプライアンスには、特定リリースのアプライアンス ソフトウェアを識別するバージョン番号があります。シスコのサポート担当者への問い合わせ時や、クラスタ内のすべてのアプライアンスで同じソフトウェア バージョンが稼働していることを確認する際には、この情報が必要となる場合があります。
  • ACE XML アプライアンスからバージョン情報を取得するには、次の手順を実行します。
root ユーザとしてアプライアンス シェルにログインします。
  1. Main Menu から、 Advanced Options メニュー項目を選択します。
  2. Advanced Options メニューが表示されます。
  3. Version Information メニュー項目を選択します。
  4. このリリース識別ストリングは、画面上部にバナーとして表示されます。この画面の中央には、現在インストールされている Gateway のソフトウェア、オペレーティング システムのカーネル、Tarari XML コプロセッサ カードのファームウェア(このオプション情報はすでに使用されなくなったハードウェア アドオン オプションに関するもの)、nForce ハードウェア キーストア カードのファームウェアのバージョン番号が表示されます。

アプライアンス ユーザ アカウントの作成

  • システムには数種類のユーザ アカウントがあります。Manager ユーザ アカウントは ACE XML Manager の Web コンソール インターフェイスへのアクセスを提供します。
  • ACE XML アプライアンスのコマンドライン環境へのアクセスには、別の種類のユーザ アカウントが使用されます。このアカウントは、オペレーティング システム アカウントと呼ばれ、アプライアンスにローカル接続されているコンソールを使用するのか、リモートで Secure Shell(SSH; セキュア シェル)を使用するのかに関係なく、アプライアンス上の端末セッションにアクセスできます。
  • 各 ACE XML アプライアンスには、 root アカウントが組み込まれています。 root ユーザには、ACE XML アプライアンスを操作するための広範な特権が与えられています。セキュリティ上、 root アカウントへのアクセスは厳密に管理する必要があります。追加のログイン アカウントを作成すれば、アプライアンスに対する限定的な管理特権を割り当てることができます。ユーザ アカウントを利用すると、設定変更も簡単に管理できます。
  • アプライアンス用のユーザ アカウントは 2 種類あります。
  • developer ユーザ ― SDK 拡張機能を導入するためにアプライアンスにアクセスします。
  • operator ユーザ ― ログ ファイルの循環や取得のためにアプライアンスにアクセスします。
  • いずれの場合も特権は非常に限定されています。たとえば、どちらのユーザ タイプも、メニュー方式のシェル インターフェイスは使用できません。また、どちらの場合もリストされるタスクに制限があります。

アカウントの作成手順

  • ACE XML アプライアンスに新しいログイン アカウントを作成するには、次の手順を実行します。
root ユーザとしてアプライアンス シェルにログインします。
  1. Main Menu から、 Advanced Options 項目を選択します。
  2. Advanced Options ページで、 Run Bash オプションを選択します。
  3. bash プロンプトで、2 種類のユーザのいずれかを作成します。
  4. operator ユーザを作成する場合は、次のコマンドを入力します。
  5. reactivity-operator-add [username]
    "[description]"
  6. 上記のコマンドで、
  7. [username] は新しい operator ユーザのログイン名です。
  8. [description] は、そのアカウントの目的を示す簡単な記述です。
  9. developer ユーザを作成する場合は、次のコマンドを入力します。
  10. reactivity-developer-add [username]
    "[description]"
  11. 上記のコマンドで、
  12. [username] は新しいユーザのログイン名です。
  13. [description] は、そのアカウントを説明する簡単な記述です。
  14. シェルが記述内容を正しく解釈できるようにするため、記述は必ず二重引用符()で囲む必要があります。
  15. パスワードの入力を求めるプロンプトが表示されます。
  16. 新しいアカウントのパスワードを入力します。
  17. 確認のため、パスワードを再度入力します。
  18. これで新しいユーザはシェル インターフェイスにログインできるようになります。 exit を入力して、管理メニューに戻ります。

システムのバックアップと復元

  • 作業ポリシーは、多くの場合、何時間もの計画と設定の結果であり、非常に重要な文書です。これらには、ネットワークについての重要な機密情報も含まれています。これらは、業務上不可欠な他の機密データと同様、バックアップや障害回復計画も含めて、慎重に取り扱う必要があります。
  • システムのバックアップには 2 つの方法があります。
  • 各ポリシーのアーカイブとオフラインでの保存 ― この方法では、Manager インターフェイスからのポリシーの変更は取り込まれますが、アプライアンスに直接行われた設定は除外されます。
  • backup コマンドによるアプライアンスの状態のバックアップ ― この方法では、設定値、ポリシー、ログ ファイルなど、アプライアンスのシステム状態を含むアーカイブ ファイルが作成されます。
  • ほとんどのユーザはこれらを両方とも利用します。つまり、必要に応じて個々のポリシーを保存し、定期的にシステムのバックアップも実行します。個々のポリシーのアーカイブは、ACE XML Manager の Web コンソールから実行できます(手順については、『 Cisco ACE XML ゲートウェイ User's Guide 』の「Exporting a Policy to a File」の章を参照してください)。ここでは、システム全体のバックアップ方法について説明します。
  • システムをバックアップし、以前保管されたバックアップに基づいてアプライアンスを復元するには、そのアプライアンスに対して backup コマンドを使用します。backup コマンドは、Gateway システムと Manager の両方で使用できます。
  • このコマンドを実行すると、そのアプライアンス上のファイルに元の状態との違いがないかどうか検査されます(ランタイム処理型の変更は除外されます)。相違点の情報はアーカイブ ファイルに書き込まれます。このファイルは、バックアップまたは障害回復に適したストレージ メディアに移動できます。

システムのバックアップ

  • バックアップ ユーティリティは、取り込まれた時の状態にシステムを復元できるようにします。バックアップ ユーティリティは、初期状態のシステムから加えられた変更を認識し、それらの変更をアーカイブに保存することによって、アプライアンスの状態を保存します。バックアップがアプライアンス上で復元されると、システムは保存済みの状態に戻ります。
  • バックアップ ファイルからの復元は、ACE XML アプライアンスの設定が空の場合にだけ機能するようになっています。設定が空でないアプライアンスでは復元が機能しない場合もあります。
  • バックアップ ユーティリティが保存するシステム機能には、ポリシー状態、システムのネットワーク設定、ログ情報のほか、システム導入以降に作成されたり変更されたりしたファイル(スクリプトまたはデータ ファイルなど)が含まれます。
  • バックアップ/復元ユーティリティではバックアップされないようなタイプのシステム変更またはシステム機能もいくつかあります。たとえば、アクティブ プロセス情報のようにランタイム型の情報は統合されません。また、ソフトウェアのアップデート、ホットフィックス、RPMにインストールされた正規の拡張機能のようなシステム変更も除外されます。一方、ユーザ自身で作成しインストールした SDK 拡張機能はバックアップされます。これらは、バックアップおよび復元のプロセスを使用する前に、別個に復元する必要があります。
  • バックアップ動作の結果、新しいファイルと変更されたファイルを含むアーカイブ ファイルが作成されます。このアーカイブ ファイルを削除しないでおくと、このファイルが次回のバックアップ動作に含まれます。したがって、バックアップ ファイルをストレージ メディアに保管したら、オリジナルのバックアップ ファイルはアプライアンスのファイルシステムから削除することを推奨します。
  • backup コマンドを実行する前に、バックアップ プロセスが機能するのに十分な空き容量がアプライアンスにあることを確認してください。必要とされる正確な容量は、ポリシー、ログ ファイルなどのサイズによって異なります。ただし、一般的に、ログ ファイル以外のすべてをバックアップするには、アプライアンスに約 50 MB のディスク空き容量が必要となります。イベント ログ、監査ログ、またはトラフィック ログをバックアップする場合は、ログのサイズと同量のディスク空き容量が必要です。したがって、システム全体をバックアップする場合は、50 MB にログの合計サイズを加えた量が必要となります。
  • バックアップ動作自体としては、開始前に十分なディスク容量があるかどうかの確認は行われません。使用可能な容量が足りないと、バックアップ動作は正常に終了しません。
  • システムをバックアップするには、次の手順を実行します。
バックアップする ACE XML アプライアンスのアプライアンス シェルにアクセスします。
  1. Advanced Options Run Bash の順に選択します。
  2. 次のように backup コマンドを使用して、バックアップ ファイルを作成します。
  3. backup -all <filename>
  4. 上記のコマンドでは、filename はバックアップ アーカイブの保存先となる tgz ファイルの名前です。次に例を示します。
  5. backup -all applianceBackup.tgz
  6. -all スイッチを指定すると、ネットワークや Gateway の設定値、ポリシー ファイルストア、ログ ファイルを含め、すべてのデータがバックアップされます。代わりに、次に示すコマンド スイッチを使用すると、指定したデータ部分だけをバックアップすることができます。
  7. backup -filestore applianceBackup.tgz
  8. filestore スイッチを指定すると、ログ情報を除くすべてのデータがバックアップされます。ログ データだけをバックアップする場合は、 -userlog (イベント ログ)、 -auditlog 、または -traffic スイッチを使用します。
  9. スイッチを指定せずにこのコマンドを使用すると、ネットワークと Gateway の設定だけがバックアップされます。
  10. backup -h を入力すると、このコマンドに使用できるオプションがすべて表示されます。 -e -l のスイッチには注意してください。これらを指定すると、コマンド動作のエラーが標準エラー出力に出力されます。通常、シスコのサポート担当者に指示されない限り、このオプションを使う必要はありません。
  11. プロセスが完了してバックアップ アーティファクトが作成されれば、scp(セキュア コピー)ユーティリティを使用して、アーカイブを外部にコピーすることができます。特別な必要性がなければ、アーカイブを外部にコピーしたのち、アプライアンスからバックアップ アーカイブを削除してください。削除しない場合、次回に作成するバックアップ アーカイブにこのアーカイブが含まれます。

システムの復元

  • バックアップ ファイルからの復元は、ACE XML アプライアンスが初期状態の場合、つまり設定が空の場合にだけ機能するようになっています。ポリシーが設定されていたり、初期状態からその他の変更が加えられているアプライアンスでは復元が機能しない場合もあります。ただし、アプライアンスのソフトウェア バージョン、ホットフィックス、SDK拡張機能は、バックアップの作成にシステムが使用したものと同じでなければなりません。これらは、バックアップ復元コマンドを実行する前に、個別にインストールする必要があります。
  • さらに、アプライアンスは、バックアップ ファイルの作成にシステムが使用した動作モードと同じ動作モードでなければなりません。つまり、ソース システムが独立型モードで設定された場合、ターゲット システムも独立型モードに設定される必要があります。
  • これらの前提条件の確認後、次の手順でシステムを復元します。
システムを復元する ACE XML アプライアンスのアプライアンス シェルにアクセスします。
  1. Advanced Options Run Bash の順に選択します。
  2. backup スクリプトを使用して、バックアップ ファイルからシステムを復元します。ファイルは、システム上、またはアプライアンスのオペレーティング システムからアクセス可能なディスク ロケーションに存在していなければなりません。
  3. 次に例を示します。
  4. backup -restore <filename>
  5. 上記の filename は backup スクリプトで以前に保存された tgz ファイルの名前です。次に例を示します。
  6. backup -restore -verbose applianceBackup.tgz
  7. -verbose スイッチを指定すると、バックアップまたは復元のプロセス中に発生するエラー メッセージが画面に出力されます。
  8. backup -h を入力すると、すべてのオプションのリストが表示されます。動作時のエラーを画面に出力するには、 -e または -l のスイッチを使用します。
  9. システムはファイルを読み取り、現在のシステムを上書きして、ファイル内に示されているアプライアンス状態にします。変更の適用後、アプライアンスはリブートします。再起動後のシステムは、バックアップ アーカイブから復元された状態になります。

アップデートの適用

  • シスコから ACE XML Gateway と Manager のソフトウェアのアップデートが発行される場合があります。これらのアップデートには、通常、セキュリティ強化、新機能または強化機能、バグ フィックスが含まれています。
  • ソフトウェア アップデートについての情報は、シスコのサポート担当者にお問い合わせください。また、シスコのサポート用 Web サイトでもソフトウェア アップデート情報を調べることができます。

アップデート手順

  • 各ソフトウェアのアップデート パッケージには、そのリリース固有のインストレーションに関する説明が含まれています。アップグレード方法の詳細は、リリースによって異なる可能性があるので、アップデートを実行する際には、シスコのサポート担当者の支援を受けてください。
  • 一般的に、アップデートを行うには次の手順を実行します。
アップデート ファイルを取得します。
  • ご使用のソフトウェア用のアップデート ファイルを入手できない場合は、シスコのサポート担当者から必要なファイルを取得できます。ほとんどの場合、アップデート パッケージは、自動インストール パッケージとインストレーションに関する説明で構成されています。
  • アップデートに関する説明をすべて読みます。
  • アップデート パッケージに添付されている説明書は、必ずすべてに目を通してください。アップグレード方法の細部は、そのアップデートによって影響を受ける機能により、リリースごとに異なる可能性があります。
  • Gateway インスタンスを作成します。
  • アップデートを適用する前に、重要なファイルをバックアップし、作業ポリシー、必要なリソース、またはユーザ アカウントが失われないようにすることを推奨します。
  • このようなバックアップは、ACE XML Manager に対してだけでなく、各 Gateway に対しても実行してください。重要なファイルのバックアップに関する詳細は、システムのバックアップと復元を参照してください。
  • すべての ACE XML Gateway および Manager アプライアンスにアップデートを適用します。具体的な方法は、アップデート パッケージの付属資料を参照してください。
  • なんらかの理由で ACE XML Gateway のインスタンスを以前のバージョンのシステム ソフトウェアに復元する必要がある場合には、シスコ提供のアップデート パッケージを入手し、ロールバックの実行に関する説明を参照します。

シリアル コンソールによるブート制御の設定

  • デフォルトでは、ほとんどの ACE XML アプライアンスはシリアル コンソール アクセスをサポートし、接続の設定は 9600 bps、8 データ ビット、パリティなし、1 ストップ ビットです。
  • ただし、デフォルトでは、ブート メッセージはシリアル コンソールではなくビデオ コンソールに出力されます。ブート メッセージがシリアル コンソールに表示されるように設定を変更するには、次の手順を実行します。
root ユーザとしてアプライアンス シェルにログインします。
  1. Main Menu から、 Advanced Options 項目を選択します。
  2. Advanced Options から Boot Settings 項目を選択します。
  3. Serial Port 項目を選択して、起動時にブート出力がシリアル コンソールに表示されるようにします。
  4. ACE XML アプライアンスに直接接続されているか、または KVM スイッチを通じて接続されているキーボード、モニタ、マウスを使用する場合、 Console 項目を選択します。
  5. Advanced Options 画面が表示されます。新しい設定を有効にするためには、アプライアンスをリブートする必要があります。
  6. Advanced Options から、 Return to Main Menu を選択します。
  7. Main Menu から、 Shutdown/Reboot 項目を選択します。
  8. Shutdown/Reboot 画面で、 Reboot を選択します。
  9. 選択を確認するように求めるプロンプトが表示されます。 Yes を選択して、アプライアンスを新しい設定で再起動します。
  10. ACE XML アプライアンスにシリアル ケーブルが接続されている場合は、そのケーブルがアプライアンスに搭載されているカードではなく、アプライアンスのシリアル インターフェイスに接続されていることを確認してください。
  11. 出荷時に ACE XML アプライアンスに搭載されている nCipher カードにもシリアル ポートがありますが、このポートは nCipher カード リーダー専用であり、端末セッションはサポートしていません。

ディスク容量が不足している場合の復元

  • アプライアンスに不測のシャットダウンが発生した場合は、ディスク容量が足りない可能性があります。デフォルトでは、ログ ファイルはアプライアンスから削除されません。そのため、アプライアンスの使用可能なディスク容量をログ ファイルが消費してしまう可能性があります。
  • RAM リソースの過剰な使用によってアプライアンスがシャットダウンする場合もあります。ただし、その場合には、Gateway は自動的に復元されます。
  • Gateway は使用可能なディスク容量がディスク容量全体の 10 パーセント未満になると、シャットダウンするように設計されています。しかし、Manager にはこのような保護メカニズムはないので、容量がなくなるまで動作します。したがって、Manager のディスク容量は定期的に監視する必要があります。
  • ディスク容量不足でアプライアンスがシャットダウンした場合、そのアプライアンスを再起動するには、ディスクの空き容量が必要です。
  • ディスク容量不足でシャットダウンしたアプライアンスを復元するには、次の手順を実行します。
SSH を使用してアプライアンスに接続し、root ユーザとしてログインします。
  • 他のプロセスではシャットダウンするようなディスク容量であっても、アプライアンスは SSH 接続を引き続き受け入れることができます。
  • Main menu から、 Advanced Options Run Bash の順に選択します。
  • df コマンドを使用すると、ディスク容量が不足しているかどうか確認できます。このコマンドを実行すると、使用済みのディスク容量と空きディスク容量が表示されます。
  • scp cp 、またはその他のツールを使用して、ディスクからログ ファイルを削除します。
  • Bash シェルで exit を入力してメニューに戻ってから、該当するメニュー オプションを選択して、Main メニューに戻ります。
  • Manage ACE XML Gateway Processes メニューで、次のいずれかを選択し、アプライアンスを再起動します。
  • Start ACE XML Gateway
  • Start ACE XML Manager
  • Restart All Configured Services (ご使用の環境で動作中の Gateway でこのオプションを選択すると、Gateway が再起動し、ネットワーク トラフィックが停止します。)
  • 今後、不測のシャットダウンが発生しないようにするには、一定の間隔でログをディスクから自動的に移動するようなスクリプトの使用を考慮する必要があります。
  • バックアップ時に自動的にログ ファイルが削除されるようにすることも可能です。その場合は、Manager の Web コンソールで、 Gateway Advanced Settings にアクセスします。このページには、 System Management ページからアクセスできます。
  • このページで、 Delete old log files when total message log disk usage exceeds というオプションをイネーブルにします。設定されたしきい値を超えると、削除されたログ ファイル内の情報は失われるので注意してください。
  • 詳細は、Manager のこのページで使用できるオンライン ヘルプを参照してください。

MTA ポストマスタ アドレスの変更

  • ACE XML Gateway は、一定のサービス タイプの SMTP トラフィックを受信します。たとえば、電子メール添付として渡された eb XML コンテンツの処理と検証を実行できます。Gateway で ebXML サービスの処理を使用するには、Manager の Web コンソールで ebXML ベースのサービス定義を設定します。
  • Gateway の SMTP サーバはリレーとしては機能しません。受け入れるのはローカル アドレスへの着信メッセージと Gateway からの発信メッセージだけです。SMTP サーバは一時的な障害の影響を受けたメッセージの再送信を定期的に試行します。MTA は SSL による SMTP や SMTP 内の TLS はサポートしていません。
  • eb XML サービスがポリシーに追加されると、アプライアンスはポート 25 を開いて SMTP トラフィックを処理します。それ以降、ACE XML Gateway MTA はそのポストマスタ メールボックスに電子メールを受信できます。
  • ポストマスタ アドレスは、MTA の標準管理アドレスです(SMTP プロトコルに必要)。このアドレスは、Gateway の着信トラフィックと発信トラフィックのいずれにも影響を与えません。
  • 必要な場合、ポストマスタへのメールが別の場所に送信されるようにアドレスを変更することも可能です。デフォルトのままにしておく場合、ポストマスタ メールボックスは ACE XML Gateway の root ユーザのメールボックスになります。
  • 既存のアドレスを変更するには、次の手順を実行します。
root ユーザとして、Gateway アプライアンスのシェル インターフェイスにログインします。
  1. Main Menu から、 Advanced Options 項目を選択します。
  2. Advanced Options で、 MTA Configuration を選択します。
  3. Configure postmaster address 項目を選択します。
  4. 管理情報の宛先とする電子メール アドレスを入力します。
  5. 完了したら、 MTA Menu メニューから、 Advanced Options メニューに戻ります。
  6. クラスタ内の各 Gateway に対して、この手順を実行します。