システムの動作の設定
1 つの ACS インスタンスがプライマリ インスタンスになり、他の ACS インスタンスをセカンダリ インスタンスとして、そのプライマリ インスタンスに登録できるように、ACS インスタンスを設定して展開できます。ACS インスタンスは、ネットワーク上で動作する ACS ソフトウェアに対応付けられます。
ACS の展開は、単一のインスタンスで構成されることも、複数のインスタンスで構成されることもあります。後者の場合、インスタンスは分散環境に展開され、システム内のすべてのインスタンスが集中管理されます。1 つのシステムのすべてのインスタンスに同じ設定が使用されます。
展開のすべてのインスタンスを管理するには、[Distributed System Management] ページ([System Administration] > [Operations] > [Distributed System Management])を使用します。インスタンスを管理できるのは、プライマリ インスタンスからだけです。[Deployment Operations] ページは展開内の任意のインスタンスから呼び出すことができますが、その制御対象はローカル サーバ上での動作に限られます。
(注) 任意のプライマリ インスタンスまたは任意のセカンダリ インスタンスを別のプライマリ インスタンスに登録できます。ただし、セカンダリ インスタンスが登録されているプライマリ インスタンスは登録できません。
インストール プロセスの一環として作成されたプライマリ インスタンスで、登録されているセカンダリ インスタンスの設定が集中管理されます。プライマリ インスタンスで行った設定変更は、セカンダリ インスタンスに自動的に複製されます。設定変更がセカンダリ インスタンスに複製されない場合、セカンダリ インスタンスに対して完全な複製を強制的に実行できます。
この章の内容は、次のとおりです。
分散展開について
展開内に複数の ACS サーバを設定できます。どの展開でも、1 つのサーバを プライマリ サーバとして指定し、他のサーバはすべて セカンダリ サーバになります。
一般的に、設定変更はプライマリ サーバだけで行い、その変更はすべてのセカンダリ サーバに伝播されます。これらのセカンダリ サーバでは、設定データを読み取り専用データとして表示できます。サーバ証明書の設定など、設定変更の数が少ない場合は、セカンダリ サーバで変更できます。これらの変更はサーバにローカルに保持されます。
セカンダリ サーバ間で通信は行われません。通信は、プライマリ サーバとセカンダリ サーバの間でだけ行われます。セカンダリ サーバでは、展開内の他のセカンダリのステータスは認識されません。
ACS を使用すると、ファイアウォールの内側に ACS インスタンスを展開できます。各種管理インターフェイスを介して ACS にアクセスできるようにするために、ファイアウォールで開く必要があるポートを 表 17-1 に示します。
表 17-1 ファイアウォールで開くポート
|
|
ACS Web インターフェイス/Web サービス |
443 |
データベース複製 |
TCP 2638 |
RADIUS サーバ |
- 1812 および 1645(RADIUS 認証および認可)
- 1813 および 1646(RADIUS アカウンティング)
- 3799(RADIUS COA および POD はプロキシ目的でリッスンします)
RADIUS サーバでポート 1812 を使用する場合は、PIX ファイアウォール ソフトウェアがバージョン 6.0 以降であることを確認してください。そのあと、次のコマンドを実行して、ポート 1812 を使用するようにします。 aaa-server radius-authport 1812 |
メッセージ バスを介した複製 |
TCP 61616 |
RMI |
TCP 2020(RMI レジストリ サービス用) |
TCP 2030(着信コール用) |
SNMP(要求用) |
UDP 161 |
SNMP(通知用) |
UDP 162 |
SSH |
22 |
TACACS+ サーバ |
TCP 49 またはリッスン用に TACACS+ Port で設定されたポート番号(1024 ~ 65535)。 |
ACS View コレクタ |
UDP 20514 |
ACS View ネット フローの syslog 処理 |
UDP 9993 |
127.0.0.1 のリスニング ポートとして表示されたポートが上記の表に記載されていません。これらのポートはアクセス可能な外部 ACS インスタンスではありません。
[Distributed System Management] ページを使用して、展開内のサーバのステータスを監視したり、サーバ上の操作を実行したりできます。
大規模な ACS の展開では、ACS 5.8 は、1 つのプライマリ ACS インスタンスと 21 のセカンダリ ACS インスタンスをサポートします。1 つのセカンダリ インスタンスを、実際のプライマリ インスタンスがダウンした時にプライマリ インスタンスとしてプロモートできる専用ホット スタンバイ セカンダリ インスタンスにすることができます。中規模な ACS の展開は、1 つのプライマリ ACS インスタンスと 13 のセカンダリ ACS インスタンスで構成されます。同様に、1 つのセカンダリ インスタンスを、実際のプライマリ インスタンスがダウンした時にプライマリ インスタンスとしてプロモートできる専用ホット スタンバイ セカンダリ インスタンスにすることができます。また、すべての ACS 5.8 展開で 150,000 の AAA クライアント、10,350 のネットワーク デバイス グループ、400,000 のユーザおよび 200,000 のホストがサポートされます。ACS 5.8 ログ コレクタ サーバは、展開されているさまざまな ACS ノードからログ コレクタ サーバへの送信による負荷に対して、1 日 2,000,000 件のレコード、毎秒 750 件のメッセージを処理できます。ACS サーバの展開の詳細については、『 Installation and Upgrade Guide for Cisco Secure Access Control System 5.8 』を参照してください。
分散展開では、パスワード ハッシング オプションが有効な管理者アカウントを使用して ACS インスタンスをセカンダリ インスタンスとして展開に追加する場合、展開上の ACS インスタンス間で信頼された通信が必要です。信頼された通信の詳細については、分散展開での信頼通信を参照してください。
(注) ACS 5.8 は、22 を超える ACS インスタンスを持つ大規模な展開をサポートしません。
関連項目
セカンダリ サーバのアクティベーション
展開にサーバを追加するには、次の手順を実行します。
ステップ 1 セカンダリ サーバで、[Deployment Operations] オプションを選択して、プライマリ サーバへの登録要求を発行します。
ステップ 2 プライマリ サーバでセカンダリ インスタンスをアクティブにします。
セカンダリ インスタンスで設定情報を受信できるようにするには、プライマリ インスタンスでセカンダリ インスタンスをアクティブにする必要があります。これにより、アドミッション コントロールのメカニズムが提供されます。
ただし、手動アクティベーション要求を実行する代わりに、新しく追加されたセカンダリ インスタンスを自動的にアクティブにするためのオプションも用意されています。
関連項目
セカンダリ サーバの削除
展開からセカンダリ サーバを完全に削除するには、まずセカンダリ サーバを登録解除してから、プライマリから削除する必要があります。サーバを登録解除するための要求は、登録解除するセカンダリ サーバから実行することも、プライマリ サーバから実行することもできます。
関連項目
セカンダリ サーバの昇格
プライマリ サーバとして機能できるサーバは 1 つだけです。ただし、セカンダリ サーバを昇格させて、展開内のすべてのサーバに対するプライマリ ロールを代行させることができます。昇格操作は、プライマリ ロールを代行させるセカンダリ サーバで実行するか、またはプライマリ サーバで実行します。
(注) プライマリ サーバがダウンしている場合は、2 つのセカンダリ サーバを同時に昇格させないでください。
関連項目
ローカル モードについて
次のローカル モード オプションを使用できます。
- セカンダリ サーバからプライマリ サーバに到達できず(たとえば、ネットワークが切断している場合)、セカンダリ サーバに対して設定変更を行う必要がある場合は、セカンダリ サーバを ローカル モード にするように指定できます。
- 試験的に、いくつかの設定変更を 1 つのサーバにだけ加え、展開内のすべてのサーバには影響を及ぼさないようにする場合は、セカンダリ サーバの 1 つを ローカル モード にするように指定できます。
ローカル モードでは、ローカルの Web インターフェイスを介して単一の ACS インスタンスに変更を加えることができ、その変更は対象のインスタンスだけで有効になります。Monitoring and Report Viewer で使用可能な [Configuration Audit] レポートには、ローカル モードで加えた設定変更だけがレポートされるようにするオプションがあります。
このレポートを生成して、ローカル モードのセカンダリ サーバに加えた変更を記録できます。レポートの詳細、および ACS からレポートを生成する方法の詳細については、レポートの管理を参照してください。
プライマリ サーバに対する接続が再開したら、切断されているローカル モードのセカンダリ インスタンスをプライマリ サーバに再接続できます。ローカル モードのセカンダリ インスタンスで、プライマリ インスタンスに再接続するための管理ユーザ名とパスワードを指定します。セカンダリ サーバがローカル モードのときに加えた設定変更は、すべて失われます。
関連項目
完全な複製について
通常の環境では、各設定変更がすべてのセカンダリ インスタンスに伝播されます。完全な複製が実行されていた ACS 4.x とは異なり、ACS 5.8 では特定の変更だけが伝播されます。設定変更が実行されると、管理者は、([Distributed System Management] ページで)複製のステータスと最後の複製 ID を監視して、セカンダリ サーバが最新の状態であることを確認できるようになります。
設定変更が期待どおりに複製されていない場合、管理者はサーバに対して完全な複製を要求できます。完全な複製を要求すると、設定データの完全なセットがセカンダリ サーバに転送され、セカンダリ サーバ上の設定データが再同期されます。
(注) メッセージ バスでの複製は、TCP ポート 61616 を使用して実行されます。完全な複製は、Sybase DB TCP ポート 2638 を使用して実行されます。
警告 ACS 管理サービスは、接続に失敗したときに警告メッセージが表示された場合でも開始されます。サービスは初期化段階で膠着状態になることはありません。
関連項目
ハードウェアの置き換えの指定
ハードウェアの置き換えを実行して、新規または既存の ACS インスタンス ハードウェアをプライマリ サーバに再登録し、プライマリ サーバ上の既存の設定が引き継がれるようにできます。このことは、ACS インスタンスで障害が発生し、物理的な置き換えが必要となった場合に役立ちます。
ハードウェアの置き換えを行うには、次の手順を実行します。
ステップ 1 プライマリ インスタンスの Web インターフェイスで、置き換え対象のサーバを登録解除済みとしてマークする必要があります。
ステップ 2 セカンダリ サーバからプライマリ サーバに登録します。
プライマリ サーバに接続するための標準管理者クレデンシャル(ユーザ名/パスワード)に加え、プライマリ サーバで設定を識別するために使用される置き換えキーワードを指定する必要があります。キーワードは、置き換え対象のインスタンスのホスト名です。
ステップ 3 プライマリでセカンダリ サーバを自動的にアクティブにするか、または手動要求を発行してアクティブにする必要があります。
関連項目
スケジューリング バックアップ
バックアップを定期的に実行するようにスケジューリングできます。プライマリ Web インターフェイスからバックアップのスケジュールを設定できます。スケジューリング バックアップ機能では、ACS 設定データがバックアップされます。以前のバージョンの ACS のデータをバックアップして、後続のバージョンに復元できます。
ACS を後続のバージョンにアップグレードする方法の詳細については、『I nstallation and Setup Guide for Cisco Secure Access Control System 5.8 』を参照してください。
ACS バックアップの暗号化
ACS バックアップは、ダイナミックな暗号化パスワードを使用して暗号化されます。ユーザは、バックアップ操作中に暗号化パスワードの入力を求められます。ACS は、動的暗号キーを使用して ACS データのみを暗号化します。CARS および ACS View データは静的キーを使用して暗号化されます。したがって、ACS は、ACS データを含むバックアップを実行すると、暗号化パスワードの入力を要求します。ユーザは、ACS データを含むバックアップの復元中に、復号化パスワードの入力を求められます。
ACS で完全バックアップを実行すると、ACS は静的キーを使用して CARS および ACS データを暗号化し、.gpg というファイルを作成します。ACS バックアップ データはこの.gpg ファイル内に動的暗号化パスワードを使用して別の.gpg ファイルとして保存されます。完全バックアップを復元すると、ACS は ACS バックアップ データを復号化するための復号化パスワードの入力を求めます。ACS は、CARS データおよび ACS View データを静的キーを使用して復号化します。
暗号化パスワードは以下が必要です。
- 最低 8 文字
- 最大 32 文字
- 1 つ以上の大文字。
- 1 つ以上の小文字。
特殊文字は以下を除き使用できます。
入力したパスワードがパスワード要件を満たさない場合は、パスワード ポリシーが表示されます。
(注) ACS 5.8 は CLI からのスケジュール設定されたバックアップはサポートしません。
関連項目
スケジューリング バックアップの作成、複製、および編集
スケジューリング バックアップの作成、複製、および編集
スケジューリング バックアップは、プライマリ インスタンスに対してだけ作成できます。スケジューリング バックアップを作成、複製、または編集するには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Scheduled Backups] を選択します。
[Scheduled Backups] ページが表示されます。 表 17-2 に、[Scheduled Backups] ページに表示されるフィールドを示します。
表 17-2 [Scheduled Backups] ページ
|
|
バックアップによって作成されるファイル名は、入力したプレフィックスにタイムスタンプおよびファイル タイプ情報が追加された形式になります。 |
Filename Prefix |
ファイル名プレフィックスを入力します。ACS によってバックアップ タイムスタンプがこれに追加されます。たとえば、ファイル名プレフィックスとして ACSBackup を入力し、バックアップが 2009 年 6 月 5 日の 20 時 37 分に実行された場合、ACS によってバックアップ ファイル ACSBackup-090506-2037.tar.gpg が作成されます。 注 ACS Web インターフェイスでは、バックアップ ファイル名とリポジトリ名に utf-8 文字を設定できません。 |
Encryption Password |
ACS バックアップ ファイルを暗号化するためのパスワードを入力します。 |
Confirm Encryption Password |
暗号化パスワードを再入力します。 |
Repository |
[Select] をクリックして、[Software Update and Backup Repositories] ダイアログボックスを開きます。ここから、バックアップ ファイルを保存する適切なリポジトリを選択できます。 |
|
Time of Day |
ACS で ACS 設定データをバックアップする時間を選択します。バックアップは、毎日、週に 1 回、または月に 1 回実行するようにスケジューリングできます。
- Daily:ACS で毎日指定した時間に ACS 設定データをバックアップするには、このオプションを選択します。
- Weekly:ACS で週に 1 回 ACS 設定データをバックアップするには、このオプションを選択し、曜日を指定します。
- Monthly:ACS で月に 1 回 ACS 設定データをバックアップするには、このオプションを選択し、日付を指定します。
|
ステップ 2 [送信(Submit)] をクリックして、バックアップをスケジューリングします。
関連項目
プライマリ インスタンスとセカンダリ インスタンスのバックアップ
プライマリ インスタンスとセカンダリ インスタンスのバックアップ
ACS では、パスワードを使用してバックアップを暗号化することができます。バックアップ ファイルの暗号化は ACS 設定バックアップのみに使用できます。パスワード ベースの暗号化は、セカンダリ ACS インスタンスから ADE-OS 設定データのバックアップだけを取得するよう選択した場合は適用されません。
ACS には、通常のスケジューリング バックアップ以外に、任意のタイミングでプライマリ インスタンスとセカンダリ インスタンスをバックアップできるオプションが用意されています。プライマリ インスタンスについては、次のデータをバックアップできます。
- ACS 設定データだけ
- ACS 設定データと ADE-OS 設定データ
ACS では、セカンダリ インスタンスについては、ADE-OS 設定データだけがバックアップされます。この場合、ACS は暗号化パスワードの入力を求めません。
[Distributed System Management] ページでバックアップをすぐに実行するには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示されます。
ステップ 2 [Primary Instance] テーブルまたは [Secondary Instances] テーブルで、バックアップするインスタンスを選択します。
バックアップ対象として選択できるプライマリ インスタンスは 1 つだけですが、セカンダリ インスタンスについては複数選択できます。
ステップ 3 [Backup] をクリックします。
[Distributed System Management - Backup] ページが表示されます。 表 17-3 に、このページに表示されるフィールドを示します。
表 17-3 [Distributed System Management - Backup] ページ
|
|
バックアップによって作成されるファイル名は、入力したプレフィックスにタイムスタンプおよびファイル タイプ情報が追加された形式になります。 |
Filename Prefix |
ファイル名プレフィックスを入力します。ACS によってバックアップ タイムスタンプがこれに追加されます。たとえば、ファイル名プレフィックスとして ACSBackup を入力し、バックアップが 2009 年 6 月 5 日の 20 時 37 分に実行された場合、ACS によってバックアップ ファイル ACSBackup-090506-2037.tar.gpg が作成されます。 注 ACS Web インターフェイスでは、バックアップ ファイル名とリポジトリ名に utf-8 文字を設定できません。 |
Encryption Password |
ACS バックアップ ファイルを暗号化するための暗号化パスワードを入力します。 |
Confirm Encryption Password |
暗号化パスワードを再入力します。暗号化パスワードに正確に一致する必要があります。 |
Repository |
[Select] をクリックして、[Software Update and Backup Repositories] ダイアログボックスを開きます。ここから、バックアップ ファイルを保存する適切なリポジトリを選択できます。 |
バックアップ オプション(プライマリ インスタンスにだけ該当)
|
ACS Configuration Backup |
ACS 設定データだけをバックアップする場合は、このオプションをクリックします。 |
ACS Configuration and ADE-OS Backup |
ACS 設定データと ADE-OS 設定データの両方をバックアップする場合は、このオプションをクリックします。 |
ステップ 4 [Submit] をクリックして、即座にバックアップを実行します。
[Deployment Operations] ページでバックアップをすぐに実行するには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Local Operations] > [Deployment Operations] を選択します。
[Deployment Operations] ページが表示されます。
ステップ 2 [Backup] をクリックします。
表 17-3 で説明した [Distributed System Management - Backup] ページが表示されます。
ステップ 3 バックアップをすぐに実行するには、 表 17-3 のフィールドを変更し、[Submit] をクリックします。
関連項目
スケジューリング バックアップ
バックアップ/復元後のプライマリ インスタンスとセカンダリ インスタンスの同期
プライマリ インスタンスでシステム バックアップが復元されるように指定しても、セカンダリ インスタンスは、プライマリ インスタンスに存在する、新しく復元されたデータベースに基づいて更新されません。
セカンダリ インスタンスが更新されるようにするには、セカンダリ インスタンスからハードウェアの置き換えを要求して、復元されたプライマリ インスタンスに再び加入させる必要があります。目的
ステップ 1 セカンダリ インスタンスをプライマリ インスタンスから登録解除します。
ステップ 2 セカンダリ インスタンスの Web インターフェイスで、[Systems Administration] > [Operations] > [Local Operations] > [Deployment Operations]を選択し、[Deregister from Primary] をクリックします。
ステップ 3 [System Administration] > [Operations] > [Local Operations] > [Deployment Operations] を選択します。
これによって、再びプライマリ インスタンスとセカンダリ インスタンスのハードウェアの置き換えを実行できます。
ステップ 4 プライマリのホスト名または IP アドレスと管理者クレデンシャルを指定します。
ステップ 5 [Hardware Replacement] を選択してから、セカンダリ インスタンスのホスト名を指定します。
ステップ 6 [Register to Primary] をクリックします。
インスタンスの編集
[System Administration] > [Operations] > [Distributed System Management] を選択すると、プライマリ インスタンスまたはセカンダリ インスタンスを編集できます。プライマリ インスタンスとセカンダリ インスタンスのバックアップを実行できます。[Distributed System Management] ページでは、次の操作を実行できます。
プライマリ インスタンスの表示および編集
プライマリ インスタンスを編集するには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示され、2 つのテーブルが示されます。
- [Primary Instance] テーブル:プライマリ インスタンスが表示されます。
プライマリ インスタンスは、インストール プロセスの一環として作成されます。
表 17-4 に、[Distributed System Management] ページに表示される情報を示します。
表 17-4 [Distributed System Management] ページ
|
|
|
Name |
プライマリ インスタンスのホスト名。 |
IP Address |
プライマリ インスタンスの IP アドレス。 |
Online Status |
プライマリ インスタンスがオンラインかオフラインかを示します。チェック マークは、プライマリ インスタンスがオンラインであることを示します。x は、プライマリ インスタンスがオフラインであることを示します。 |
Replication ID |
プライマリ インスタンスに対する最後の設定変更を示すトランザクション ID。この値は、設定変更ごとに 1 ずつ増加します。有効な値は 1 ~ 無限大です。 |
Role |
プライマリ インスタンスのロールを表示します。プライマリ ACS インスタンスがログ コレクタ サーバとして設定されている場合、ロールは、Primary: Log Collector と表示されます。 |
Last Update |
最後のデータベース設定変更のタイムスタンプ。タイムスタンプの形式は、hh:mm dd:mm:yyyy です。 |
Version |
プライマリ ACS インスタンスで実行されている ACS ソフトウェアの現在のバージョン。有効な値は、バージョン文字列か、またはソフトウェア アップグレードが開始されている場合は Upgrade in progress です。 |
Description |
プライマリ インスタンスの説明。 |
Edit |
プライマリ インスタンスを選択し、このボタンをクリックしてプライマリ インスタンスを編集します。 |
Backup |
プライマリ インスタンスを選択し、このボタンをクリックしてプライマリ インスタンスをバックアップします。詳細については、「プライマリ インスタンスとセカンダリ インスタンスのバックアップ」を参照してください。 |
|
Name |
セカンダリ インスタンスのホスト名。 |
IP Address |
セカンダリ インスタンスの IP アドレス。 |
Online Status |
セカンダリ インスタンスがオンラインかオフラインかを示します。チェック マークは、セカンダリ インスタンスがオンラインであることを示します。x は、セカンダリ インスタンスがオフラインであることを示します。 |
Replication ID |
セカンダリ インスタンスで受信されたプライマリ インスタンスからの最後の設定変更を示すトランザクション ID。この値は、設定変更ごとに 1 ずつ増加します。有効な値は 1 ~ 無限大です。この数字は、同期されているプライマリおよびセカンダリ ACS サーバのプライマリ インスタンスの複製 ID と同じである必要があります。 |
Role |
セカンダリ インスタンスのロールを表示します。セカンダリ ACS インスタンスがログ コレクタ サーバとして設定されている場合、ロールは、Secondary: Log Collector と表示されます。 |
Replication Status |
レプリケーション ステータスの値は、次のとおりです。
- UPDATED:セカンダリ インスタンスで複製が完了しました。管理および実行時サービスの両方が、プライマリ インスタンスからの設定変更を反映して最新になります。
- PENDING:完全な複製の要求が開始されているか、またはプライマリで加えられた設定変更がまだセカンダリに伝播されていません。
- REPLICATING:プライマリからセカンダリへの複製の処理中です。
- LOCAL MODE:セカンダリ インスタンスでは展開から複製の更新を受信しておらず、独自のローカル設定を維持しています。
- DEREGISTERED:セカンダリ インスタンスはプライマリ インスタンスから登録解除され、展開の一部ではありません。
- INACTIVE:セカンダリ インスタンスは非アクティブです。このインスタンスをアクティブにするには、このインスタンスを選択し、[Activate] をクリックする必要があります。
- **:プライマリ インスタンスとセカンダリ インスタンス間の通信は現在使用可能ではありません。特定の ACS インスタンスにログインし、必要な情報を表示する必要があります。
|
Replication Time |
最後の複製のタイムスタンプ。タイムスタンプの形式は、hh:mm dd:mm:yyyy です。 |
Version |
セカンダリ ACS インスタンスで実行されている ACS ソフトウェアの現在のバージョン。有効な値は、バージョン文字列か、またはソフトウェア アップグレードが開始されている場合は Upgrade in progress です。 |
Description |
セカンダリ インスタンスの説明。 |
Edit |
編集するセカンダリ インスタンスを選択し、このボタンをクリックして編集します。 |
Delete |
削除するセカンダリ インスタンスを選択し、このボタンをクリックして削除します。 |
Activate |
新しく登録されたセカンダリ インスタンスを自動的にアクティブにするためのオプションがディセーブルになっている場合、セカンダリは最初は非アクティブ状態になります。これらの非アクティブなセカンダリ インスタンスをアクティブにするには、[Activate] をクリックします。 |
Deregister |
セカンダリ インスタンスをプライマリ インスタンスから切断します。セカンダリ インスタンスでプライマリ インスタンスからの設定更新を受信しないようにします。登録解除では、登録解除されたノードが再起動されます。 完全な複製が進行中のインスタンスを登録解除しないでください。完全な複製が完了し、セカンダリ インスタンスが再起動するまで待機してから、セカンダリ インスタンスを登録解除します。 |
Promote |
セカンダリ インスタンスをプライマリ インスタンスに昇格させるように要求します。すべての複製更新が完了するように、現在のプライマリ インスタンスに対するすべての更新が停止します。複製更新が完了すると、設定のプライマリ制御がセカンダリ インスタンスによって取得されます。 セカンダリ インスタンスをプライマリ インスタンスに昇格させるには、事前にそのセカンダリ インスタンスをアクティブにする必要があります。 |
Full Replication |
セカンダリ インスタンスに対してプライマリ インスタンスのデータベース設定を複製します。ACS が再起動されます。 完全な複製が進行中のインスタンスを登録解除しないでください。完全な複製が完了し、セカンダリ インスタンスが再起動するまで待機してから、セカンダリ インスタンスを登録解除します。 |
Backup |
バックアップするセカンダリ インスタンスを選択し、このボタンをクリックしてバックアップを実行します。詳細については、「プライマリ インスタンスとセカンダリ インスタンスのバックアップ」を参照してください。 |
Refresh |
[Distributed System Management] ページを手動で更新する場合にクリックします。 |
Refresh Interval |
[Distributed System Management] ページが自動的に更新する間隔を秒単位で選択します。デフォルト値は 30 秒です。使用できるオプションは、[No Refresh]、[15 seconds]、[30 seconds]、[60 seconds] です。 各オプションは次のとおりです。
- No Refresh:ACS は [Distributed System Management] ページを自動的に更新しません。ページを手動で更新するには、[Refresh] をクリックする必要があります。
- 15 seconds:ACS は 15 秒ごとに [Distributed System Management] ページを更新します。
- 30 seconds:ACS は 30 秒ごとに [Distributed System Management] ページを更新します。
- 60 seconds:ACS は 60 秒ごとに [Distributed System Management] ページを更新します。
選択した間隔は、[Distributed System Management] ページを表示している場合にのみ動作します。別のページに移動すると、ACS は更新間隔をデフォルト値にリセットします。 注 更新間隔は、[Distributed System Management] ページから登録解除されたセカンダリ インスタンスを削除すると動作しません。 |
(注) ACS は、その特定の ACS インスタンス情報が使用できない場合は、カラムに 2 個のアスタリスク「**」を表示します。2 個のアスタリスクは、通信が使用できないため、必要な情報を表示するには、その特定の ACS インスタンスにログインする必要があることを示します。
(注) [Distributed System Management] ページを表示している場合はページは一定の間隔で自動的に更新されるため、セッション タイムアウトはありません。
ステップ 1 [Primary Instance] テーブルで、変更するプライマリ インスタンスをクリックするか、または [Name] のチェックボックスをオンにして [Edit] をクリックします。
ステップ 2 表 17-5 の説明に従って、[Distributed System Management Properties] ページのフィールドに入力します。
表 17-5 [Distributed System Management Properties] ページ
|
|
|
Hostname |
ACS ホスト マシンの名前。 |
Launch Session for Local GUI |
選択した ACS マシンの新しいインスタンスを起動するには、このボタンをクリックします。プライマリ インスタンスまたはセカンダリ インスタンスにログインする必要があります。 このオプションは、別のインスタンスを表示または編集するときにだけ表示されます。 |
Role |
プライマリ インスタンスまたはセカンダリ インスタンス、あるいは [Local] を指定します。 |
IP Address |
プライマリ インスタンスまたはセカンダリ インスタンスの IP アドレス。 |
Port |
管理サービス用のポート。 |
MAC Address |
インスタンスの MAC アドレス。 |
Description |
プライマリ インスタンスまたはセカンダリ インスタンスの説明。 |
Check Secondary Every(プライマリ インスタンスにだけ該当) |
プライマリ インスタンスがセカンダリ インスタンスにハートビート ステータス要求を送信するレート。デフォルト値は 60 秒です。最小値は 30 秒、最大値は 30 分です。 |
Statistics Polling Period(プライマリ インスタンスにだけ該当) |
プライマリ インスタンスがセカンダリ インスタンスにポーリングして統計情報およびロギング情報を問い合わせるレート。各ポーリング期間に、プライマリ サーバはすべてのセカンダリ サーバにクエリーを送信しませんが、すべての ACS サーバはそのヘルス情報をログ コレクタ サーバに送信します。最小値は 60 秒、最大値は 30 分です。ただし、ポーリングおよびロギングをオフにすることを示す値 0 を指定できます。その結果、ログ コレクタ サーバはヘルス ステータスを表示しません。デフォルト値は 60 秒です。 |
Enable Auto Activation for Newly Registered Instances(プライマリ インスタンスにだけ該当) |
登録されているセカンダリ インスタンスを自動的にアクティブにするには、このチェックボックスをオンにします。 |
|
Status |
プライマリ インスタンスまたはセカンダリ インスタンスがオンラインかオフラインかを示します。 |
Version |
ACS ソフトウェアの現在のバージョン。 |
Replication Status(セカンダリ インスタンスにだけ該当) |
レプリケーション ステータスの値は、次のとおりです。
- UPDATED:ACS インスタンスで複製が完了しました。管理および実行時サービスの両方が、プライマリ インスタンスからの設定変更を反映して最新になります。
- PENDING:完全な複製の要求が開始されています。
- REPLICATING:プライマリからセカンダリへの複製の処理中です。
- DEREGISTERED:セカンダリ インスタンスがプライマリから登録解除されました。
- N/A:プライマリ インスタンスの複製はありません。
|
Last Update Time(プライマリ インスタンスにだけ該当) |
最後のデータベース設定変更のタイムスタンプ。タイムスタンプの形式は、hh:mm dd:mm:yyyy です。 |
Last Replication Time(セカンダリ インスタンスにだけ該当) |
最後の複製のタイムスタンプ。タイムスタンプの形式は、hh:mm dd:mm:yyyy です。 |
Last Replication ID(プライマリ インスタンスにだけ該当) |
セカンダリ インスタンスに対する最後の設定変更を示すトランザクション ID。この値は、設定変更ごとに 1 ずつ増加します。有効な値は 1 ~ 無限大です。 |
Primary Replication ID(セカンダリ インスタンスにだけ該当) |
プライマリ インスタンスに対する最後の設定変更を示すトランザクション ID。この値は、設定変更ごとに 1 ずつ増加します。有効な値は 1 ~ 無限大です。 |
ステップ 3 [Submit] をクリックします。
[Distributed System Management] ページの [Primary Instance] テーブルに、編集したプライマリ インスタンスが表示されます。
関連項目
セカンダリ インスタンスの表示および編集
セカンダリ インスタンスを編集するには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示され、2 つのテーブルが示されます。
- [Primary Instance] テーブル:プライマリ インスタンスが表示されます。
- [Secondary Instances] テーブル:プライマリ インスタンスに対して登録されているセカンダリ インスタンスのリストおよびステータスが表示されます。
カラムの定義については、 表 17-4 を参照してください。
ステップ 2 [Secondary Instances] テーブルで、変更するセカンダリ インスタンスをクリックするか、またはセカンダリ インスタンスのチェックボックスをオンにして [Edit] をクリックします。
ステップ 3 表 17-5 の説明に従って、[Distributed System Management Properties] ページのフィールドに入力します。
ステップ 4 [Submit] をクリックします。
[Distributed System Management] ページの [Secondary Instances] テーブルに、編集したセカンダリ インスタンスが表示されます。
関連項目
セカンダリ インスタンスの削除
セカンダリ インスタンスを削除するには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示され、[Secondary Instances] テーブルにセカンダリ インスタンスのリストが示されます。
ステップ 2 削除するセカンダリ インスタンスを登録解除します。[Distributed System Management] ページでのセカンダリ インスタンスの登録解除を参照してください。
ステップ 3 削除するセカンダリ インスタンスの近くにある 1 つ以上のチェックボックスをオンにします。
ステップ 4 [Delete] をクリックします。
次の警告メッセージが表示されます。
Are you sure you want to continue deleting the selected instance(s)?
Please note that auto Refresh will be disabled during this operation.
ステップ 5 [OK] をクリックします。
[Distributed System Management] ページに、削除されたセカンダリ インスタンスのない [Secondary Instances] テーブルが表示されます。
セカンダリ インスタンスのアクティベーション
セカンダリ インスタンスをアクティブにするには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示され、2 つのテーブルが示されます。
- [Primary Instance] テーブル:プライマリ インスタンスが表示されます。
- [Secondary Instances] テーブル:プライマリ インスタンスに対して登録されているセカンダリ インスタンスのリストおよびステータスが表示されます。
カラムの説明については、 表 17-4 を参照してください。
ステップ 2 [Secondary Instances] テーブルで、アクティブにするセカンダリ インスタンスの近くにあるチェックボックスをオンにします。
ステップ 3 [Activate] をクリックします。
ステップ 4 [Distributed System Management] ページの [Secondary Instances] テーブルに、アクティブにしたセカンダリ インスタンスが表示されます。有効なフィールド オプションについては、 表 17-5 を参照してください。
関連項目
プライマリ インスタンスへのセカンダリ インスタンスの登録
プライマリ インスタンスにセカンダリ インスタンスを登録するには、次の手順を実行します。
ステップ 1 別の ACS サーバのセカンダリ インスタンスとして使用するマシンにログインします。
ステップ 2 [System Administration] > [Operations] > [Local Operations] > [Deployment Operations] を選択します。
[Deployment Operations] ページが表示されます。 表 17-6 に、このページに表示される情報を示します。
.
表 17-6 [System Operations: Deployment Operations] ページ
|
|
|
Current Status |
ログインするノードのインスタンスがプライマリとセカンダリのいずれであるかを識別します。また、ローカル モードで実行しているかどうかを識別します。 |
Primary Instance |
プライマリ インスタンスのホスト名。 |
Primary IP |
プライマリ インスタンスの IP アドレス。 |
Registration(ローカル モードで実行していないインスタンスに対してだけアクティブ)
|
Primary Instance |
セカンダリ インスタンスを登録するプライマリ サーバのホスト名。 |
Admin Username |
管理者アカウントのユーザ名。 |
Admin Password |
管理者のアカウントのパスワード。 |
Hardware Replacement |
新規または既存の ACS インスタンス ハードウェアをプライマリ インスタンスに再登録して、プライマリ インスタンスの既存の設定を取得できるようにする場合にオンにします。このことは、インスタンスで障害が発生し、物理的な置き換えが必要となった場合に役立ちます。 |
Recovery Keyword |
置き換え対象のインスタンスの名前。この値は、置き換え対象のシステムのホスト名です。この情報の送信後に、このインスタンスはプライマリ インスタンスに接続します。 プライマリ インスタンスは、キーワードに基づいて、関連付けられた ACS インスタンス レコードを検索し、各レコードに登録済みのマークを付けます。 |
Register to Primary |
リモート プライマリに接続し、セカンダリ インスタンスをプライマリ インスタンスに登録します。 |
|
Backup |
現在のインスタンスをバックアップします。 |
|
Admin Username |
管理者アカウントのユーザ名。 |
Admin Password |
管理者アカウントのパスワード。 |
Reconnect このオプションは、ローカル モードのノードでだけ表示されます。このオプションを使用すると、クレデンシャルを入力するように要求するプロンプトが表示されます。 |
[Reconnect] をクリックして、プライマリ インスタンスに再接続します。 プライマリ インスタンスに再接続すると、ローカルのセカンダリ インスタンスに加えた設定変更は失われます。 ローカルのセカンダリ インスタンスに加えた設定変更を保持する場合は、次の手順を実行する必要があります。 1. ローカルのセカンダリ インスタンスを登録解除します(このインスタンスが新しいプライマリになります)。 2. 展開からすべてのインスタンスを登録解除します。 3. 設定変更を保持する新しいプライマリにすべてのインスタンスを登録します。 |
Request Local Mode このオプションは、登録されているセカンダリのページにだけ表示されます。 |
セカンダリ インスタンスをローカル モードにするように要求します。管理者は、対象のインスタンスに対してだけ設定変更を行うことができます。セカンダリ インスタンスに加えた変更は、プライマリ インスタンスに再接続しても自動的には更新されません。セカンダリ インスタンスに対して変更を手動で入力する必要があります。 |
|
Deregister from Primary |
プライマリ インスタンスからセカンダリを登録解除します。セカンダリ インスタンスには、登録解除元のデータベース設定が保持されます。すべてのノードが登録解除済みおよび非アクティブとしてマークされ、そのセカンダリ インスタンスがプライマリ インスタンスになります。 完全な複製が進行中のインスタンスを登録解除しないでください。完全な複製が完了し、セカンダリ インスタンスが再起動するまで待機してから、セカンダリ インスタンスを登録解除します。 |
|
Promote to Primary |
セカンダリ インスタンスをプライマリ インスタンスに昇格させるように要求します。すべての複製更新が完了するように、現在のプライマリ インスタンスに対するすべての更新が停止します。複製更新が完了すると、設定のプライマリ制御がセカンダリ インスタンスによって取得されます。 |
|
Force Full Replication |
セカンダリ インスタンスに対してプライマリ インスタンスのデータベース設定を複製します。 完全な複製が進行中のインスタンスを登録解除しないでください。完全な複製が完了し、セカンダリ インスタンスが再起動するまで待機してから、セカンダリ インスタンスを登録解除します。 |
ステップ 3 [Registration Section] で適切な値を指定します。
ステップ 4 [Register to Primary] をクリックします。
次の警告メッセージが表示されます。
This operation will register this ACS Instance as a secondary to the specified Primary Instance.ACS will be restarted.You will be required to login again.Do you wish to continue?
ステップ 5 [OK] をクリックします。
セカンダリ インスタンスが自動的に再起動します。
プライマリ インスタンスで作成した設定とクレデンシャルがセカンダリ インスタンスに適用されます。
ステップ 6 最初のセカンダリ インスタンスが正常に起動して稼働状態になったあと、同じ配置にセカンダリとして別の ACS マシンを登録します。展開内のすべてのセカンダリ マシンを登録するために同じ手順に従ってください。
(注) 90% のメモリ利用率は、ログ コレクタが実行中で、サーバに高い負荷がかかっている場合に、セカンダリ インスタンスで正常と見なされます。メモリ使用率が 90% を超え、増加し続ける場合は異常である可能性があり、分析が必要です。
[Distributed System Management] ページでのセカンダリ インスタンスの登録解除
[Distributed System Management] ページでセカンダリ インスタンスを登録解除するには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示されます。
ステップ 2 [Secondary Instances] テーブルで、登録解除するセカンダリ インスタンスのチェックボックスの 1 つをオンにします。
ステップ 3 [Deregister] をクリックします。
次の警告メッセージが表示されます。
This operation will deregister this server as a secondary with the primary server.ACS will be restarted.You will be required to login again.Do you wish to continue?
ステップ 4 [OK] をクリックします。
ステップ 5 ACS マシンにログインします。
ステップ 6 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示され、プライマリ インスタンスから登録解除されたセカンダリ インスタンスが示されます。
関連項目
[Deployment Operations] ページでのセカンダリ インスタンスの登録解除
(注) この場合、ログインしているローカル マシンがセカンダリ インスタンスです。
[Deployment Operations] ページでセカンダリ インスタンスを登録解除するには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Local Operations] > [Deployment Operations] を選択します。
[Deployment Operations] ページが表示され、ログインしているセカンダリ インスタンスが示されます。有効なフィールド オプションについては、 表 17-6 を参照してください。
ステップ 2 [Deregister from Primary] をクリックします。
次の警告メッセージが表示されます。
This operation will deregister this server as a secondary with the primary server.ACS will be restarted.You will be required to login again.Do you wish to continue?
ステップ 3 [OK] をクリックします。
ステップ 4 ACS マシンにログインします。
ステップ 5 [System Administration] > [Operations] >[Local Operations] > [Deployment Operations] を選択します。
[Deployment Operations] ページが表示され、今までログインしていて、プライマリ インスタンスから登録解除されたセカンダリ インスタンスが示されます。
関連項目
[Distributed System Management] ページでのセカンダリ インスタンスの昇格
[Distributed System Management] ページでセカンダリ インスタンスをプライマリ インスタンスに昇格させるには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示されます。有効なフィールド オプションについては、 表 17-4 を参照してください。
ステップ 2 [Secondary Instances] テーブルで、プライマリ インスタンスに昇格させるセカンダリ インスタンスのチェックボックスをオンにします。
ステップ 3 [Promote] をクリックします。
[Distributed System Management] ページが表示され、昇格したインスタンスが示されます。
関連項目
[Deployment Operations] ページでのセカンダリ インスタンスの昇格
[Deployment Operations] ページでセカンダリ インスタンスをプライマリ インスタンスに昇格させるには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Deployment Operations] ページが表示されます。有効なフィールド オプションについては、 表 17-6 を参照してください。
ステップ 2 セカンダリ インスタンスをプライマリ インスタンスに登録します。プライマリ インスタンスへのセカンダリ インスタンスの登録を参照してください。
ステップ 3 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Deployment Operations] ページが表示されます。
ステップ 4 プライマリ インスタンスに昇格させるセカンダリ インスタンスのチェックボックスをオンにします。
ステップ 5 [Promote to Primary] をクリックします。
[Distributed System Management] ページが表示され、昇格したインスタンスが示されます。
関連項目
プライマリ インスタンスからのセカンダリ インスタンスの複製
セカンダリ インスタンスを複製するには、2 つの異なるページを使用できます。
(注) 複製の詳細については、ACS 4.x と 5.8 の複製を参照してください。
[Distributed System Management] ページでのセカンダリ インスタンスの複製
(注) すべての ACS アプライアンスは、AD ドメイン クロックと同期している必要があります。
セカンダリ インスタンスを複製するには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示されます。
ステップ 2 [Secondary Instances] テーブルで、複製するセカンダリ インスタンスのチェックボックスの 1 つをオンにします。
ステップ 3 [Full Replication] をクリックします。
次の警告メッセージが表示されます。
This operation will force a full replication for this secondary server.ACS will be restarted.You will be required to login again.Do you wish to continue?
ステップ 4 [OK] をクリックします。
ステップ 5 ACS マシンにログインします。
ステップ 6 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示されます。[Secondary Instance] テーブルの [Replication Status] カラムに UPDATED と表示されます。セカンダリ インスタンスで複製が完了しました。管理および実行時サービスは、プライマリ インスタンスからの設定変更を反映して最新になります。
[Deployment Operations] ページでのセカンダリ インスタンスの複製
(注) すべての ACS アプライアンスは、AD ドメイン クロックと同期している必要があります。
セカンダリ インスタンスを複製するには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] >[Local Operations] > [Deployment Operations] を選択します。
[Deployment Operations] ページが表示されます。有効なフィールド オプションについては、 表 17-6 を参照してください。
ステップ 2 [Force Full Replication] をクリックします。
次の警告メッセージが表示されます。
This operation will force a full replication for this secondary server.ACS will be restarted.You will be required to login again.Do you wish to continue?
ステップ 3 [OK] をクリックします。
ステップ 4 ACS マシンにログインします。
ステップ 5 [System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示されます。[Secondary Instance] テーブルの [Replication Status] カラムに UPDATED と表示されます。セカンダリ インスタンスで複製が完了しました。管理および実行時サービスは、プライマリ インスタンスからの設定変更を反映して最新になります。
プライマリ サーバからのプライマリ インスタンスの IP アドレスの変更
プライマリ ACS サーバの IP アドレスを変更するには、次の手順を実行します。
ステップ 1 ACS プライマリ Web インターフェイスにログインし、プライマリ ACS サーバからすべてのセカンダリ ACS インスタンスの登録を解除するために、[System Administration] > [Operations] > [Distributed System Management] を選択します。
[Distributed System Management] ページが表示されます。
ステップ 2 セカンダリ ACS インスタンスの近くにあるチェックボックスを 1 つずつオンにし、[Deregister] をクリックします。
すべてのセカンダリ ACS インスタンスを登録解除する前にログ コレクタがプライマリ ACS サーバで実行中であることを確認します。ログ コレクタがセカンダリ ACS サーバのいずれか 1 つで実行されている場合は、プライマリ ACS サーバをログ コレクタを変更します。
ログ コレクタを変更するには、ログ コレクタの設定を参照してください。
ステップ 3 すべての登録解除されたセカンダリ ACS インスタンスを削除するには、登録解除されたセカンダリ ACS インスタンスの近くにあるチェックボックスをオンにします。
登録解除されたセカンダリ ACS インスタンスが削除されます。
ステップ 4 次を入力して管理モードで ACS サーバにログインします。
acs-5-2-a/admin# conf t
ステップ 5 次のコマンドを入力します。
int g 0
ip address old ip address new ip address
ステップ 6 Ctrl キーを押した状態で z キーを押します。
次の警告メッセージが表示されます。
Changing the hostname or IP may result in undesired side effects, such as installed application(s) being restarted.Are you sure you want to proceed? [y/n]
ステップ 7 y を押します。
ステップ 8 管理モードと新しい IP アドレスを使用してプライマリ ACS サーバにアクセスします。
ステップ 9 すべてのプロセスが正しく実行されていることを確認するために、show application status acs コマンドを使用します。
ステップ 10 プライマリ ACS サーバにセカンダリ インスタンスを登録します。プライマリ インスタンスへのセカンダリ インスタンスの登録を参照してください。
フェールオーバー
ACS 5.8 では、配置シナリオに複数の ACS インスタンスを設定できます。各展開は 1 つのプライマリと複数のセカンダリ ACS サーバを持つことができます。
シナリオ:プライマリ ACS が分散展開でダウンする
3 つの ACS インスタンス ACS1、ACS2 および ACS3 があるとします。
ACS1 はプライマリで、ACS2 および ACS3 はセカンダリです。プライマリ サーバ ACS1 がダウンしている場合は、セカンダリ サーバに設定変更を加えることはできません。他のセカンダリ ACS サーバがすべてアクティブの場合、任意のセカンダリ サーバをプライマリ サーバにすることができます。
ステップ 1 差し当たり ACS2 をプライマリに昇格させ、それを使用して設定変更を加えます。
セカンダリ ACS サーバをプライマリ サーバとして昇格させるには、[Distributed System Management] ページでのセカンダリ インスタンスの昇格および[Deployment Operations] ページでのセカンダリ インスタンスの昇格を参照してください。
これで、ACS2 が新しいプライマリ インスタンスです。したがって、ACS2 で設定変更を行うことができ、それは ACS3 とすべてのセカンダリ サーバに即座に複製されます。
ここで、ACS1 をオンラインに戻すことを考慮します。ACS1 がスタンドアロンであるように ACS2 と展開の他で加えられた変更を保持する必要がある場合は、その変更を複製しないでください。
ステップ 2 ACS1 のセカンダリ サーバのリストから ACS2 および ACS3 を削除します。
ステップ 3 セカンダリとして ACS1 を登録するには、現在のプライマリ サーバである ACS2 から ACS1 を削除します。
ここでは、ACS2 はプライマリ サーバで、ACS1 はセカンダリ サーバです。これで展開は完全にオンラインになりました。
ACS1 をプライマリ サーバにする場合は、プライマリ サーバとして ACS1 をプロモートする必要があります。
[Deployment Operations] ページでのローカル モード インスタンスの作成
セカンダリ インスタンスがローカル モードの場合、プライマリ インスタンスからの設定変更を受信しません。セカンダリ インスタンスに加えた設定変更はローカルに保持され、プライマリ インスタンスには伝播されません。
[Deployment Operations] ページを使用してローカル モード インスタンスを作成するには、次の手順を実行します。
ステップ 1 [System Operations] > [Operations] > [Local Operations] > [Deployment Operations] を選択します。
[Deployment Operations] ページが表示されます。有効なフィールド オプションについては、[Distributed System Management] ページ を参照してください。
ステップ 2 登録するセカンダリ インスタンスについて、[Registration] セクションで適切な値を指定します。
ステップ 3 [Register to Primary] をクリックします。
次の警告メッセージが表示されます。
This operation will register this ACS Instance as a secondary to the specified Primary Instance.ACS will be restarted.You will be required to login again.Do you wish to continue?
ステップ 4 [OK] をクリックします。
ステップ 5 ACS ローカル マシンにログインします。
ステップ 6 [System Administration] > [Operations] >[Local Operations] > [Deployment Operations] を選択します。
[Deployment Operations] ページが表示されます。
4. [Request Local Mode] をクリックします。
セカンダリ インスタンスがローカル モードになります。
セカンダリ インスタンスをプライマリ インスタンスに再接続すると、ローカルのセカンダリ インスタンスに加えた設定変更は失われます。プライマリ インスタンスの設定情報を手動で復元する必要があります。
対象のインスタンスの設定情報を手動で復元するには、[ACS Configuration Audit] レポートの設定情報を使用します。
ソフトウェア リポジトリの作成、複製、編集、および削除
ソフトウェア リポジトリを作成、複製、編集、または削除するには、次の手順を実行します。
ステップ 1 [System Administration] > [Operations] > [Software Repositories] を選択します。
[Software Repositories] ページが表示されます。 表 17-7 に、このページに表示される情報を示します。
表 17-7 [Software Repositories] ページ
|
|
Name |
ソフトウェア リポジトリの名前。 注 ACS Web インターフェイスでは、バックアップ ファイル名とリポジトリ名に utf-8 文字を設定できません。 |
Protocol |
アップグレード ファイルを転送するために使用するプロトコル(DISK、FTP、SFTP、TFTP、NFS)の名前。 |
Server Name |
サーバ名を指定します。 |
Path |
アップグレード ファイルが存在するディレクトリのパスの名前。プロトコルおよびアップグレード ファイルの場所を指定する必要があります。たとえば、ftp://acs-home/updates です。 |
Description |
ソフトウェア リポジトリの説明。 |
Download RSA Key |
生成された RSA の公開認証キーをダウンロードするには、このオプションをクリックします。 |
Generate RSA Key |
SFTP リポジトリの RSA 公開認証キーを生成するには、このオプションをクリックします。 |
ステップ 2 次のアクションのいずれかを実行します。
- [Create] をクリックします。
- 複製するソフトウェア リポジトリに対応するチェックボックスをオンにし、[Duplicate] をクリックします。
- 変更するソフトウェア リポジトリをクリックするか、または [Name] のチェックボックスをオンにして [Edit] をクリックします。
- 削除するソフトウェア リポジトリのチェックボックスを 1 つ以上オンにして、[Delete] をクリックします。
[Software Update Repositories Properties] ページが表示されます。
ステップ 3 表 17-8 の説明に従って、[Software Update Repositories Properties] ページのフィールドに入力します。
表 17-8 [Software Update Repositories Properties] ページ
|
|
|
Name |
ソフトウェア リポジトリの名前。 注 ACS Web インターフェイスでは、バックアップ ファイル名とリポジトリ名に utf-8 文字を設定できません。 |
Description |
ソフトウェア リポジトリの説明。 |
|
Protocol |
アップグレード ファイルを転送するために使用するプロトコルの名前。有効なオプションは次のとおりです。
- DISK:このプロトコルを選択した場合は、パスを指定する必要があります。
- FTP:このプロトコルを選択した場合は、サーバ名、パス、およびクレデンシャルを指定する必要があります。
- SFTP:このプロトコルを選択した場合は、サーバ名、パス、およびクレデンシャルを指定する必要があります。
- TFTP:このプロトコルを選択した場合は、TFTP サーバの名前を入力する必要があります。任意でパスを指定できます。
- NFS:このプロトコルを選択した場合は、サーバ名およびパスを指定する必要があります。任意でクレデンシャルを指定できます。このプロトコルを選択する場合は、ACS に NFS ファイル システムへのフル アクセスがあることを確認します。読み取りと書き込みの権限を所有し、NFS ファイル システムでルート アクセス権限を許可できる必要があります。
|
Server Name |
FTP、SFTP、TFTP、または NFS サーバの名前。 |
注 リポジトリが指す実際の位置は /localdisk/pathname です |
Path |
アップグレード ファイルのパスの名前。プロトコルおよびアップグレード ファイルの場所を指定する必要があります。たとえば、ftp://acs-home/updates です。 |
Enable RSA public key authentication |
SFTP リポジトリに対する認証のために RSA 公開キーを使用する場合は、このチェックボックスをオンにします。このオプションを有効にすると、[Software Repositories] ページから RSA キーを生成しなくてならず、ACS は生成された RSA キーを使用して SFTP サーバに接続します。 |
|
Username |
管理者名。 |
Password |
管理者パスワード。 |
ステップ 4 [Submit] をクリックします。
新しいソフトウェア リポジトリが保存されます。[Software Repository] ページが表示され、作成、複製、または編集した新しいソフトウェア リポジトリが示されます。
関連項目
Web インターフェイスおよび CLI でのソフトウェア リポジトリの管理
Web インターフェイスまたは CLI でリポジトリを管理できます。Web インターフェイスまたは CLI でリポジトリを作成または削除する際には、次の規則に留意してください。
- CLI でリポジトリを作成した場合、そのリポジトリは Web インターフェイスには表示されず、CLI でだけ削除できます。
- Web インターフェイスでリポジトリを作成した場合、そのリポジトリは CLI では削除できますが、Web インターフェイスには引き続き残ります。Web インターフェイスを使用してソフトウェア更新用のリポジトリを作成すると、そのリポジトリは CLI で自動的に再作成されます。
- Web インターフェイスを使用してリポジトリを削除すると、そのリポジトリは CLI でも削除されます。
SFTP リポジトリに対する認証用の RSA 公開キーの設定
一般的に、ACS で SFTP リポジトリを設定する時は、ユーザ名とパスワードを設定する必要があります。SFTP ユーザのパスワードは、システムの要件に応じて頻繁に変更します。ユーザのパスワードに変更がある度に、面倒なことに、ACS のリポジトリ設定でパスワードを更新する必要があります。この問題を解決するため、ACS では RSA 公開キーに基づいた認証を用いるよう SFTP リポジトリを設定できます。ACS 5.8 では、ユーザの認証に用いることができるユーザ名と RSA 公開キーを使用するよう SFTP リポジトリを設定できます。
RSA 公開キー認証を用いるよう SFTP リポジトリを設定するには、次の手順を実行してください。
ステップ 1 ACS CLI にログインします。
ステップ 2 RSA 公開キー認証を用いるよう SFTP リポジトリを設定します。詳細については、ACS CLI での SFTP リポジトリの設定を参照してください。
ステップ 3 RSA 公開キーを生成します。ACS CLI および ACS Web インターフェイスから RSA 公開キーを作成できます。ACS CLI から RSA 公開キーを作成する方法の詳細については、RSA 公開キーの生成を参照してください。
ステップ 4 リモート リポジトリへ生成された RSA 公開キーをエクスポートします。RSA 公開キーのエクスポートについては、リモート リポジトリへの RSA 公開キーのエクスポートを参照してください。
ステップ 5 SFTP サーバの RSA 公開キー認証を有効にします。詳細については、SFTP リポジトリでの RSA 公開キー認証の有効化を参照してください。
ステップ 6 エクスポートした RSA 公開キーを SFTP サーバの承認済みキー リストへ追加します。エクスポートした RSA 公開キーを承認済みキーリストへ追加する詳細な方法については、SFTP リポジトリの認証キーリストへのエクスポートした RSA 公開キーの追加を参照してください。
(注) SFTP リポジトリの RSA 公開キーは ACS サーバに対してローカルです。あるサーバのバックアップを別のサーバへ復元した場合には、RSA 公開キーは機能しません。
ACS CLI での SFTP リポジトリの設定
ACS CLI で SFTP リポジトリを設定するには、次の手順を実行します。
ステップ 1 ACS CLI にログインします。
ステップ 2 configure terminal と入力して、設定モードを開始します。
ステップ 3 repository sftp コマンドを入力して、リポジトリ設定モードを開始します。
ステップ 4 url sftp: <repository IP address> /<path> コマンドを入力します。ここで、「repository IP address」は STFP リポジトリの IP アドレスを指し、「path」は STFP リポジトリでデータを格納するパスを指します。
ステップ 5 次のいずれかの操作を実行します。
- ユーザ名とパスワードを用いてリポジトリ パスワードを設定する場合は、 user <username> Password {hash \ plain} <password> コマンドを入力します。
- ユーザ名と RSA 公開キー認証を用いて SFTP リポジトリを設定する場合は user <username> rsa-public-key コマンドを入力します。
注 パスワードまたは RSA 公開キーを使用して SFTP リポジトリを設定できます。
ステップ 6 リポジトリ設定モードを終了するには、 exit コマンドを入力します。
ACS CLI は次の警告メッセージを表示します。
% Warning: Host key of the server must be added using “crypto host_key add” exec command before sftp repository can be used.
ステップ 7 設定モードを終了するには、 exit コマンドを入力します。
ステップ 8 sftp リポジトリに設定された RSA 公開キーを参照するには、 show running-config と入力します。
RSA 公開キーの生成
ACS CLI および Web インターフェイスの両方で RSA 公開キーを作成できます。
ACS CLI を使用した RSA 公開キーの生成
ACS CLI で RSA 公開キーを生成するには、次の手順を実行します。
ステップ 1 ACS CLI にログインします。
ステップ 2 crypto key generate rsa passphrase <passphrase key> コマンドを入力します。
ステップ 3 Enter を押します。
次のメッセージが表示されます。
RSA key pair for user admin generated.
ACS Web インターフェイスを使用した RSA 公開キーの生成
ACS Web インターフェイスで RSA 公開キーを生成するには、次の手順を実行します。
ステップ 1 ACS Web インターフェイスにログインします。
ステップ 2 [System Administration] > [Operations] > [Software Repositories] を選択します。
ステップ 3 [Generate RSA Key] をクリックします。
ステップ 4 [Passphrase] を入力します。
ステップ 5 [Confirm Passphrase] フィールドに同じパスフレーズを再度入力します。
ステップ 6 [OK] をクリックします。
RSA キーが生成されます。
(注) ACS Web インターフェイスで RSA 公開キーを生成した場合、[Download RSA Key] を使用してダウンロードし SFTP リポジトリの authorized_keys ファイルに追加する必要があります。
リモート リポジトリへの RSA 公開キーのエクスポート
SFTP リポジトリはまだ機能していません。したがって、RSA 公開キーファイルをリモートリポジトリへエクスポートし、キーファイルのコンテンツをリモート リポジトリからコピーし、SFTP リポジトリの認証済みキーファイルへ追加する必要があります。
RSA 公開キーをリモート リポジトリへエクスポートするには、次の手順を実行します。
ステップ 1 ACS CLI にログインします。
ステップ 2 crypto key export <key_file_name> repository <repository_name> と入力して、生成された RSA キーをリモートリポジトリへエクスポートします。
これで、RSA 公開キーがエクスポートされたリモート リポジトリを開き、SFTP リポジトリの authorized_keys ファイルにコピーしたり追加できるようになりました。
SFTP リポジトリでの RSA 公開キー認証の有効化
SFTP リポジトリで RSA 公開キー認証を有効にするには、次の手順を実行します。
ステップ 1 etc/ssh/sshd_config ファイルを編集するのに必要な権限で SFTP サーバにログインします。
ステップ 2 vi /etc/ssh/sshd_config コマンドを入力します。
SFTP サーバは sshd_config ファイルの内容をリストします。
ステップ 3 RSA 公開キー認証を有効にするには、次の 3 つの行から「#」記号を削除します。
- RSAAuthentication yes
- PubkeyAuthentication yes
- AuthorizedKeysFile ~/.ssh/authorized_keys
これで、RSA 公開キー認証がこの SFTP サーバで有効になります。
SFTP リポジトリの認証キーリストへのエクスポートした RSA 公開キーの追加
エクスポートした RSA 公開キーを SFTP リポジトリの認証キー ファイルへ追加するには、次の手順を実行します。
ステップ 1 etc/ssh/sshd_config ファイルを編集するのに必要な権限で SFTP サーバにログインします。
ステップ 2 vi /home/<SFTP-username>/.ssh/authorized_keys コマンドを入力します。
このコマンドは、ホーム リポジトリから authorized_keys ファイルを開きます。Authorized_keys ファイルが利用可能でない場合、SFTP リポジトリは同じ名前のファイルを作成します。
ステップ 3 リモート リポジトリにエクスポートした RSA 公開キー ファイルからその内容をコピーし、authorized_keys ファイルに貼り付けます。
ステップ 4 「Wq!」と入力して authorized_keys ファイルを保存します。
これで、生成された RSA 公開キーが SFTP リポジトリの authorized_keys ファイルに追加されます。
関連項目
ACS Web インターフェースからのポリシーのエクスポート
ACS では、次のポリシーやポリシー要素を、ACS Web インターフェースから XML ファイル形式でリモート リポジトリにエクスポートしたり、設定済みの ID を電子メールで送ることができます。
- サービス セレクション規則
- アクセス サービス(Default Device Admin および Default Network Access)
- グループ マッピング
- 認証ポリシー
- 認証プロファイル
- コマンド セット
- シェル プロファイル
- ダウンロードできるアクセス リスト
ACS Web インターフェイスの [Software Repositories] ページから、ACS のリモート リポジトリを設定できます。ACS Web インターフェイスから、即時にエクスポート可能です。または日時をスケジュールしてエクスポートすることも可能です。ACS は、前述のポリシーおよびポリシー要素を、XML ファイル形式にしパスワードを用いて暗号化しエクスポートします。ACS はエクスポートされた XML ファイルをリモート リポジトリへ保存する、もしくは ACS Web インターフェイスで設定された受信者宛てに電子メールで送信します。暗号化パスワードを使用してエクスポートされた XML ファイルを復号化し、ACS 設定の迅速な分析を行いエラーを特定できます。ACS の Web インターフェイスからポリシーをエクスポートするには、SuperAdmin ロールを持つ管理者アカウントが必要です。ACS は、セキュリティ グループ アクセス タイプおよび社外プロキシ タイプのアクセス サービス ポリシーをエクスポートしません。
はじめる前に
SuperAdmin ロールを持つ管理者アカウントがあることを確認します。
ACS Web インターフェースからポリシーをエクスポートするには、次のようにします。
ステップ 1 [System Administration] > [Operation] > [Scheduled Policy Export] を選択します。
[Scheduled Policy Export] プロパティのページが表示されます。
ステップ 2 表 17-9 の説明に従って、[Scheduled Policy Export] ページのフィールドに入力します。
表 17-9 [Scheduled Policy Export] ページのプロパティ
|
|
Export Policy Configuration Data
|
Encryption Password |
エクスポートされるポリシー ファイルを暗号化する際に ACS が使用するパスワードを入力します。エクスポートされた XML ファイルを復号化するにはこのパスワードが必要です。 |
Confirm Encryption Password |
暗号化パスワードと正確に一致するパスワードを再入力します。 |
Repository |
[Select] をクリックして、[Software Update and Backup Repositories] ダイアログボックスを開きます。ここから、エクスポートするポリシー ファイルを保存できる適切なリポジトリを選択できます。ACS Web インターフェイスの [Software Repositories] ページ内のリモート リポジトリを設定する必要があります。 |
Email file to |
エクスポートされた XML ファイルを電子メールで通知する送信先電子メールアドレスを入力します。複数の電子メールアドレスは、カンマで区切って追加できます。 |
Mail Server |
有効な IPv4 または IPv6 電子メール ホスト サーバを入力します。電子メール サーバを設定していない場合、電子メールを受信しません。 |
|
On Demand Export |
リクエストを送信した直後に ACS にポリシーをエクスポートさせる場合に選択します(即時エクスポート)。 |
Schedule Export |
エクスポート操作の日時を ACS にスケジュールさせる場合に選択します。 |
Time of Day |
ACS にポリシーをエクスポートさせる時刻を選択します。エクスポート操作は、日、週、月単位でスケジューリングできます。
- [Daily]:毎日指定された時間にポリシーをエクスポートするには、このオプションを選択します。
- [Weekly]:毎週指定された曜日にポリシーをエクスポートするには、このオプションを選択し曜日を指定します。
- [Monthly]:毎月指定された日付にポリシーをエクスポートするには、このオプションを選択し日にちを指定します。
|
ステップ 3 [Submit] をクリックします。
ACS は、ポリシーおよびポリシー要素をエクスポートします。
- [On Demand Export] オプションを選択している場合、リクエストを送信した直後にエクスポートします。
- [Scheduled Export] オプションを選択している場合、スケジュールを保存するとスケジュールされた日付と時間にエクスポート処理を実行します。
関連項目
ソフトウェア リポジトリの作成、複製、編集、および削除
分散展開での信頼通信
ACS は、展開時の ACS インスタンス間の通信のセキュリティを強化する信頼通信機能を導入します。この機能は、展開時にプライマリおよびセカンダリ ACS インスタンス間の通信にセキュアなトンネルを確立するために使用できます。プライマリおよびセカンダリの両方の ACS インスタンスまたはいずれかのインスタンスの信頼通信をイネーブルにできます。ただし、セキュリティ強化のために、展開のすべてのノードで信頼通信をイネーブルにすることを推奨します。展開の準備が整った後は、セカンダリ ACS インスタンスの [Enable Nodes Trust Communication] の設定は編集できません。プライマリ ACS インスタンスの信頼通信設定に加えた変更は、すべてのセカンダリ ACS インスタンスに複製されます。
ACS 5.8 では、セカンダリ インスタンスをプライマリ インスタンスに登録すると、プライマリ インスタンスとセカンダリ インスタンスの両方が互いの証明書を確認してから、通信を行うためのセキュア トンネルを確立します。これらの 2 つのノード間の後続のすべてのトランザクションは、確立されたセキュアなトンネルを介して行われます。
デフォルトでは、新しい ACS インスタンスの上で信頼通信がイネーブルになります。このタイプのセキュリティを必要としない場合は、[Trust Communication Settings] ページの [Enable Nodes Trust Communication] チェックボックスをオフにします。
- プライマリおよびセカンダリ ACS インスタンスの信頼通信をイネーブルにし、セカンダリ インスタンスをプライマリに登録した場合、プライマリ インスタンスとセカンダリ インスタンスの両方が互いの CA とサーバ証明書を確認します。証明書の確認後は、以下が実行されます。
– プライマリおよびセカンダリ ACS インスタンスの両方の証明書が有効な証明書である場合、インスタンスはインスタンス間にセキュアなトンネルを確立し、プライマリにセカンダリ インスタンスを登録します。
– プライマリ インスタンスのいずれかの証明書が無効な場合、セカンダリ ACS インスタンスが登録プロセスを停止します。
– セカンダリ インスタンスのいずれかが証明書が無効な場合、プライマリ ACS インスタンスはセカンダリ ACS インスタンスからの登録要求を拒否します。
- プライマリ ACS インスタンスの信頼通信のみをイネーブルにし、このプライマリにセカンダリを登録した場合、このプライマリ インスタンスがセカンダリの証明書を確認します。証明書が有効である場合、プライマリは新しい ACS インスタンスをセカンダリ インスタンスとして登録します。セカンダリはプライマリの証明書を確認しません。
- セカンダリ ACS インスタンスの信頼通信のみをイネーブルにし、このインスタンスをプライマリ インスタンスに登録した場合、このセカンダリ インスタンスはプライマリの証明書を登録時に確認します。証明書が有効である場合、セカンダリ インスタンスは、登録プロセスを続行します。プライマリ インスタンスはセカンダリの証明書を確認しません。
(注) 展開時に ACS インスタンスに使用した証明書が無効だった場合(期限が切れた証明書、失効した証明書、まだ有効になっていない証明書など)、プライマリおよびセカンダリ ACS インスタンスは通信できず、システムは予想どおりに動作しません。
分散展開での信頼通信の設定
はじめる前に
分散展開でノード間の信頼通信をイネーブルにする前に、次を実行しておく必要があります。
- プライマリ ACS インスタンスで信頼済み認証局(CA)証明書を追加します。詳細については、認証局の追加を参照してください。
- 有効な CA によって正当に署名された管理サーバ証明書をプライマリ ACS インスタンスに追加します。詳細については、ローカル サーバ証明書の設定を参照してください。
- 信頼済み CA を ACS インスタンスに追加します。このインスタンスが、セカンダリ ACS インスタンスとして登録されます。詳細については、認証局の追加を参照してください。
- 有効な CA によって正当に署名された管理サーバ証明書を ACS インスタンスに追加します。このインスタンスがセカンダリ ACS インスタンスとして登録されます。詳細については、ローカル サーバ証明書の設定を参照してください。
- セカンダリ インスタンスのサーバ証明書を発行した CA がプライマリ インスタンスに存在し、プライマリ インスタンスのサーバ証明書を発行した CA がセカンダリ インスタンスに存在することを確認します。
分散展開でノード間の信頼通信を設定するには、次の手順を実行します。
ステップ 1 [System Administration] > [Configuration] > [Global System Options] > [Trust Communication Settings] を選択します。
ステップ 2 [Enable Nodes Trust Communication] チェックボックスをオンにします。
ステップ 3 [Submit] をクリックします。
ノード間の信頼通信がイネーブルになりました。セカンダリ インスタンスをプライマリに登録できるようになりました。詳細については、プライマリ インスタンスへのセカンダリ インスタンスの登録を参照してください。