データの暗号化と保護が最高水準で行われるように、NetBackup は 8.1 リリースより AES 暗号化アルゴリズムと SHA-2 指紋アルゴリズムを導入しています。具体的には、MSDP は AES-256 および SHA-512/256 を使用します。
AES と SHA-2 アルゴリズムが導入された NetBackup 8.1 では、以前のアルゴリズム (Blowfish と MD5 に似たアルゴリズム) で暗号化、計算されたデータを新しいアルゴリズ ム (AES-256 と SHA-512/256) に変換します。
NetBackup 8.1 にアップグレードされた環境には、新しい形式に変換する必要がある Blowfish で暗号化されたデータと MD5 に似たアルゴリズムの指紋が含まれることがあり ます。変換を処理してデータを保護するには、新しい内部タスクで現在のデータコンテナ を AES-256 暗号化と SHA-512/256 指紋アルゴリズムに変換します。この新しいタスク は、ローリングデータ変換と呼ばれます。この変換は、NetBackup 8.0 にアップグレード すると自動的に開始されます。変換プロセスの一部を制御したり、プロセスを完全に停止 することができます。
ローリングデータ変換は、すべての既存のデータコンテナを処理します。Blowfish アル ゴリズムを使ってデータが暗号化されている場合、データは AES-256 アルゴリズムを使っ て再暗号化されます。それから、新しい SHA-512/256 指紋が生成されます。変換後の データコンテナには、.bhd ファイルと .bin ファイルに加え、追加で .map ファイルがあ
ります。.map ファイルには、SHA-512/256 と MD5 に似たアルゴリズムの指紋間のマッ
第 5 章 重複排除の構成 133 MSDP のローリングデータの変換メカニズムについて
ピングが含まれています。これは、SHA-512/256 指紋と MD5 に似たアルゴリズムの指 紋の間の互換性のために使用されます。.bhdファイルには、SHA-512/256 指紋が含ま れています。
NetBackup 8.1.1 にアップグレードするときに、顧客キーを使用して暗号化されていない 暗号化データがある場合があります。暗号化データは顧客キーを使用して暗号化する必 要があります。また、データ変換を処理し、データのセキュリティを保護するため、新しい 内部タスクが、顧客キーを使用して既存のデータを暗号化します。暗号化および指紋ロー リング変換が完了したら、KMS ローリング変換が開始します。
ローリングデータ変換のモード
MSDP では、ローリングデータ変換のメカニズムを使用して、Blowfish で暗号化された データを AES-256 で暗号化されたデータに、MD5 に似たアルゴリズムの指紋を SHA-512/256 の指紋に並列で変換します。データ変換には、通常モードと高速モード の 2 種類のモードがあります。
■ 通常モード: アップグレード済みのシステムでは、デフォルトでデータ変換プロセスが 通常モードで開始されます。圧縮と同様に、データ変換は、バックアップ、リストア、ま たは CRQP (Content Router Queue Processing) ジョブが実行中でない場合にの み実行されます。
通常モードでは、データ変換の所要時間は次の要因によって左右されます。
■ ストレージの合計サイズ
■ CPU 能力
■ システムに対する負荷
通常モードのデータ変換には所要時間が長くなる場合があります。
制御下の環境でVeritasが行ったテストによると、1 TB の単一マウントポイントでは、
変換速度は通常モードで約 50 MB/秒であることが示されました。
■ 高速モード: 高速モードでは、データ変換によって巡回冗長検査と圧縮が無効化さ れます。ローリングデータ変換は、バックアップ、リストア、複製、または CRQP ジョブ の実行時に行われます。
制御下の環境でVeritasが行ったテストによると、1 TB の単一マウントポイントでは、
変換速度は高速モードで約 105 MB/秒であることが示されました。
メモ: パフォーマンスの数値はVeritasのテスト環境で計測されたものであり、お使いの環 境でのパフォーマンスを保証するものではありません。
NetBackup 8.1 の新規インストールでは、ローリングデータ変換は[完了]としてマーク付 けされ、その後開始されることはありません。NetBackup 8.1 へのアップグレードの場合、
ローリングデータ変換はデフォルトでは有効であり、MSDP 変換の完了後にバックグラウ ンドで動作します。変換されるのは、アップグレードの前に存在していたデータのみです。
第 5 章 重複排除の構成 134 ローリングデータ変換のモード
すべての新しいデータは新しい SHA-512/256 の指紋を使用するため、変換の必要が ありません。
高速モードでは、ローリングデータ変換はバックアップ、リストア、複製、およびレプリケー ションジョブのパフォーマンスに影響します。この影響を最小限に抑えるには、通常モー ドを使用します。通常モードでは、システムがビジー状態のときに変換が一時停止されま すが、変換プロセスは遅くなります。高速モードでは、システム状態に関係なく変換がア クティブになります。
次の crcontrol コマンドオプションを使うと、ローリングデータ変換を管理、監視できま す。
表 5-18 ローリングデータ変換の MSDP crcontrol コマンドオプション 説明
オプション
データ変換プロセスを開始するには、--dataconverton オプションを使用します。
Windows の場合:
install_path¥Veritas¥pdde¥Crcontrol.exe --dataconverton
UNIX の場合:
/usr/openv/pdde/pdcr/bin/crcontrol --dataconverton
--dataconverton
データ変換プロセスを停止するには、--dataconverton オプションを使用します。
Windows の場合:
install_path¥Veritas¥pdde¥Crcontrol.exe --dataconvertoff
UNIX の場合:
/usr/openv/pdde/pdcr/bin/crcontrol --dataconvertoff
--dataconvertoff
データ変換のモードと変換の進捗状況を確認するには、
--dataconvertstate オプションを使用します。
Windows の場合:
install_path¥Veritas¥pdde¥Crcontrol.exe --dataconvertstate
UNIX の場合:
/usr/openv/pdde/pdcr/bin/crcontrol --dataconvertstate
--dataconvertstate
第 5 章 重複排除の構成 135 ローリングデータ変換のモード
説明 オプション
データ変換の通常モードと高速モードを切り替えるには、
--dataconvertmode オプションを使用します。
Windows の場合:
install_path¥Veritas¥pdde¥Crcontrol.exe --dataconvertmode mode
UNIX の場合:
/usr/openv/pdde/pdcr/bin/crcontrol --dataconvertmode <mode>
<mode> 変数のデフォルト値は 0 です。この値は通常モー
ドを意味します。通常モードから高速モードにデータ変換 を切り替えるには、<mode> 変数の値に 1 を入力します。
--dataconvertmode
MSDP 暗号化の動作と互換性
MSDP は複数の暗号化アルゴリズムをサポートします。MSDP はデータ互換性を確保 するため Blowfish と AES の両方の暗号化データを管理します。
リストア操作では、MSDP は Blowfish データと AES データを認識するため、古いバック アップイメージでもリストアできます。
次の表に、暗号化の進行中におけるバックアップ、重複排除、レプリケーション操作の暗 号化の動作を示します。
表 5-19 NetBackup 8.0 ストレージサーバーへのバックアップ操作における 暗号化の動作
データ暗号化形式 クライアントの形式
NetBackup 8.0 を備えるクライアント (Client AES Direct 重複排除を含む)
8.0 より前の NetBackup バージョンを備えるク AES ライアント (Client Direct 重複排除を除く)
AES (インラインデータ変換を使用) 8.0 より前の NetBackup バージョンを備えるク
ライアント (Client Direct 重複排除を使用) NetBackup バージョン 8.0 を備える負荷分散 AES サーバー
AES (インラインデータ変換を使用) 8.0 以前のバージョンの NetBackup を備える負
荷分散サーバー
第 5 章 重複排除の構成 136 MSDP 暗号化の動作と互換性
表 5-20 NetBackup 8.0 対象サーバーに対する最適化された重複排除操作 と自動イメージレプリケーション操作における暗号化の動作
重複排除または Blowfish で暗号化されたレプリケー ションデータのデータ暗号化 形式
重複排除または AES で暗 号化されたレプリケーション データのデータ暗号化形式 ソースストレージの形式
AES (インラインデータ変換を 使用)
NetBackup 8.0 を備えるソース AES サーバー
AES (インラインデータ変換を 使用)
適用されません 8.0 以前のバージョンの
NetBackup を備えるソースサー バー
メモ: インラインデータ変換は、バックアップ、重複排除、レプリケーションの操作の進行 中に同時に実行されます。
最適化された合成バックアップの MSDP の構成
最適化された合成バックアップの MSDP を構成するには、[合成バックアップ (Synthetic
Backup)]ポリシー属性を選択する必要があります。
最適化された合成バックアップを MSDP 用に構成する方法
1 [標準 (Standard)]または[MS-Windows]バックアップポリシーを構成します。
p.195 の 「バックアップポリシーの作成」 を参照してください。
『NetBackup 管理者ガイド Vol. 1』を参照してください。
http://www.veritas.com/docs/DOC5332
2 バックアップポリシーの[スケジュールの属性 (Schedule Attributes)]タブで[合成 バックアップ (Synthetic Backup)]属性を選択します。
p.289 の 「MSDP ストレージサーバーの属性の設定」 を参照してください。
p.195 の 「バックアップポリシーの作成」 を参照してください。
MSDP の複製およびレプリケーションに対する個別ネッ トワークパスについて
MSDP の複製とレプリケーションのトラフィックには MSDP バックアップに使っているネッ
トワークと異なるネットワークを使えます。複製とレプリケーションのデータトラフィックと制 第 5 章 重複排除の構成 137 最適化された合成バックアップの MSDP の構成
御トラフィックの両方が個別のネットワーク上を移動します。 MSDP トラフィックは、次のよ うに 2 つの異なるネットワークを使います。
NetBackup は、バックアップとリストアで、ストレージサーバー構成時 に設定したネットワークインターフェースを使います。
バックアップおよびリストアのトラフィックと制御トラフィックの両方がバッ クアップネットワーク上で移動します。
p.32 の 「MSDP のネットワークインターフェースについて」 を参照して
ください。
バックアップおよびリストア
複製およびレプリケーションのトラフィックの場合、バックアップおよびリ ストアに使用するネットワークとは異なるネットワークを使用するホストオ ペレーティングシステムを設定します。
複製およびレプリケーションのデータトラフィックと制御トラフィックの両 方が複製およびレプリケーションネットワーク上を移動します。
p.138 の 「MSDP 複製とレプリケーションに対する個別ネットワークパス の構成」 を参照してください。
最適化された複製またはレプリケーションのレプリケーションターゲット を設定する際、必ず複製およびレプリケーションネットワークを表すホ スト名を選択してください。
複製とレプリケーション
p.140 の 「同じドメイン内での MSDP の最適化複製について」 を参照してください。
p.154 の 「異なるドメインへの MSDP レプリケーションについて」 を参照してください。
MSDP 複製とレプリケーションに対する個別ネットワー クパスの構成
MSDP の複製とレプリケーションのトラフィックには MSDP バックアップに使っているネッ
トワークと異なるネットワークを使えます。複製とレプリケーションのデータトラフィックと制 御トラフィックの両方が個別のネットワーク上を移動します。
p.137 の 「MSDP の複製およびレプリケーションに対する個別ネットワークパスについて」
を参照してください。
この手順では個別ネットワークにトラフィックをルーティングするのにストレージサーバー の hosts ファイルを使う方法を記述します。
前提条件は次のとおりです。
■ コピー元と宛先ストレージサーバーの両方に、その他のネットワーク専用のネットワー クインターフェースカードが必要です。
■ 個別ネットワークが稼働中で、コピー元と宛先ストレージサーバーで専用ネットワーク インターフェースカードを使っている。
第 5 章 重複排除の構成 138 MSDP 複製とレプリケーションに対する個別ネットワークパスの構成