『 Getting started with Cloud Compliance for Cloud Volumes ONTAP 』
AWS または Azure で Cloud Compliance for Cloud Volumes ONTAP を使用するには、いくつかの手順を実行します。
クイックスタート
これらの手順を実行してすぐに作業を開始するか、残りのセクションまでスクロールして詳細を確認してください。
構成が要件を満たしていることを確認します
-
Cloud Compliance インスタンスにアウトバウンドのインターネットアクセスが設定されていることを確認します。
Cloud Manager は、要求に応じて最初の Cloud Volumes ONTAP システムと同じ VPC または VNet にインスタンスを導入します。
-
ユーザが、 AWS または Azure に直接接続されているホスト、または Cloud Compliance インスタンスと同じネットワーク内のホストから Cloud Manager のインターフェイスにアクセスできることを確認します(インスタンスにはプライベート IP アドレスが割り当てられます)。
-
Cloud Compliance インスタンスの実行を継続できることを確認します。
Cloud Volumes ONTAP でクラウドへのコンプライアンスを有効化
-
新しい作業環境:作業環境の作成時に必ずクラウドへのコンプライアンスを有効にしてください(デフォルトで有効になっています)。
-
既存の作業環境: * コンプライアンス * をクリックし、必要に応じて作業環境のリストを編集し、 * コンプライアンスダッシュボードを表示 * をクリックします。
ボリュームへのアクセスを確認
Cloud Compliance が有効になったので、ボリュームにアクセスできることを確認します。
-
クラウドコンプライアンスインスタンスには、各 Cloud Volumes ONTAP サブネットへのネットワーク接続が必要です。
-
Cloud Volumes ONTAP のセキュリティグループは、クラウドコンプライアンスインスタンスからのインバウンド接続を許可する必要があります。
-
NFS ボリュームのエクスポートポリシーで、 Cloud Compliance インスタンスからのアクセスを許可する必要があります。
-
CIFS ボリュームをスキャンするには、 Cloud Compliance で Active Directory のクレデンシャルが必要です。
コンプライアンス * > * CIFS スキャンステータス * > * CIFS クレデンシャルの編集 * をクリックし、クレデンシャルを入力します。クレデンシャルは読み取り専用ですが、管理者のクレデンシャルを指定することで、 Cloud Compliance は昇格された権限が必要なデータを確実に読み取ることができます。
Cloud Manager と Cloud Compliance の間の接続を確認
-
Cloud Manager のセキュリティグループは、 Cloud Compliance インスタンスとの間のポート 80 経由のインバウンドおよびアウトバウンドのトラフィックを許可する必要があります。
-
AWS ネットワークでインターネットアクセスに NAT やプロキシを使用しない場合、 Cloud Manager のセキュリティグループは、 Cloud Compliance インスタンスからの TCP ポート 3128 経由のインバウンドトラフィックを許可する必要があります。
前提条件の確認
Cloud Compliance を有効にする前に、次の前提条件を確認し、サポートされている構成であることを確認してください。Cloud Compliance を有効にしたあとは、コンポーネント間の接続を確認する必要があります。これについては以下で説明します。
- アウトバウンドインターネットアクセスを有効にします
-
Cloud Compliance にはアウトバウンドのインターネットアクセスが必要です。仮想ネットワークでインターネットアクセスにプロキシサーバを使用している場合は、 Cloud Compliance インスタンスがアウトバウンドのインターネットアクセスを使用して次のエンドポイントに接続していることを確認します。
エンドポイント 目的 Cloud Central アカウントを含む Cloud Manager サービスとの通信。
NetApp Cloud Central との通信により、ユーザ認証を一元的に行うことができます。
¥ https://cloud-compliance-support-netapp.s3.us-west-1.amazonaws.com ¥ https://hub.docker.com
ソフトウェアイメージ、マニフェスト、およびテンプレートにアクセスできます。
ネットアップが監査レコードからデータをストリーミングできるようにします。
¥ https://cognito-idp.us-east-1.amazonaws.com ¥ https://cognito-identity.us-east-1.amazonaws.com
Cloud Compliance でマニフェストとテンプレートにアクセスしてダウンロードしたり、ログと指標を送信したりできます。
- Web ブラウザから Cloud Compliance への接続を確認
-
Cloud Compliance インスタンスは、プライベート IP アドレスを使用して、インデックス付きデータがインターネットにアクセスできないようにします。そのため、 Cloud Manager へのアクセスに使用する Web ブラウザは、そのプライベート IP アドレスに接続する必要があります。この接続は、 AWS または Azure への直接接続( VPN など)、または Cloud Compliance インスタンスと同じネットワーク内にあるホストから確立できます。
パブリック IP アドレスを使用して Cloud Manager にアクセスしている場合は、ネットワーク内のホストで Web ブラウザが実行されていない可能性があります。 - クラウドコンプライアンスを継続的に実現
-
データを継続的にスキャンするには、 Cloud Compliance インスタンスをオンのままにする必要があります。
新しい作業環境での Cloud Compliance の有効化
Cloud Compliance は、作業環境ウィザードではデフォルトで有効になります。このオプションは必ず有効にしておいてください。
-
[ Cloud Volumes ONTAP の作成 *] をクリックします。
-
クラウドプロバイダとして Amazon Web Services または Microsoft Azure を選択し、シングルノードまたは HA システムを選択します。
-
[ 詳細と資格情報 ] ページに入力します。
-
[ サービス ] ページで、 Cloud Compliance を有効のままにして、 [* 続行 ] をクリックします。
-
ウィザードの各ページを設定し、システムを導入します。
ヘルプについては、を参照してください "AWS での Cloud Volumes ONTAP の起動" および "Azure で Cloud Volumes ONTAP を起動します"。
Cloud Volumes ONTAP システムでクラウドコンプライアンスが有効になっています。Cloud Compliance を初めて有効にした場合は、 Cloud Manager によってクラウドプロバイダに Cloud Compliance インスタンスが導入されます。インスタンスが使用可能になると、作成した各ボリュームにインスタンスが書き込まれた時点でデータのスキャンが開始されます。
既存の作業環境で Cloud Compliance を有効化
既存の Cloud Volumes ONTAP システムで Cloud Compliance を有効にするには、 Cloud Manager の * Compliance * タブを使用します。
また、作業環境を個別に選択して、 * 作業環境 * タブからクラウドへのコンプライアンスを有効にすることもできます。システムが 1 つしかない場合を除き、完了するまでに時間がかかります。
-
Cloud Manager の上部で、 * Compliance * をクリックします。
-
特定の作業環境で Cloud Compliance を有効にする場合は、編集アイコンをクリックします。
それ以外の場合は、アクセス可能なすべての作業環境で Cloud Compliance が有効になります。
タブのスクリーンショット。"]
-
[ * 遵守ダッシュボードを表示 * ] をクリックします。
-
Cloud Manager の上部で、 * 作業環境 * をクリックします。
-
作業環境を選択します。
-
右側のペインで、 * コンプライアンスを有効にする * をクリックします。
Cloud Compliance を初めて有効にした場合は、 Cloud Manager によってクラウドプロバイダに Cloud Compliance インスタンスが導入されます。
Cloud Compliance は、それぞれの作業環境でデータのスキャンを開始します。データは、 Cloud Compliance の初期スキャンが完了するとすぐに Compliance ダッシュボードに表示されます。所要時間はデータ量によって異なります。数分から数時間かかる場合もあります。
Cloud Compliance がボリュームにアクセスできることの確認
ネットワーク、セキュリティグループ、およびエクスポートポリシーを確認して、 Cloud Compliance が Cloud Volumes ONTAP 上のボリュームにアクセスできることを確認します。CIFS ボリュームにアクセスできるようにするには、 Cloud Compliance に CIFS クレデンシャルを指定する必要があります。
-
クラウドコンプライアンスインスタンスと各 Cloud Volumes ONTAP サブネットの間にネットワーク接続が確立されていることを確認します。
Cloud Manager は、要求に応じて最初の Cloud Volumes ONTAP システムと同じ VPC または VNet に Cloud Compliance インスタンスを導入します。そのため、一部の Cloud Volumes ONTAP システムが異なるサブネットまたは仮想ネットワークにある場合は、この手順が重要になります。
-
Cloud Volumes ONTAP のセキュリティグループがクラウドコンプライアンスインスタンスからのインバウンドトラフィックを許可していることを確認してください。
Cloud Compliance インスタンスの IP アドレスからのトラフィックのセキュリティグループを開くか、仮想ネットワーク内からのすべてのトラフィックのセキュリティグループを開くことができます。
-
NFS ボリュームのエクスポートポリシーに Cloud Compliance インスタンスの IP アドレスが含まれていて、各ボリュームのデータにアクセスできることを確認します。
-
CIFS を使用する場合は、 Active Directory クレデンシャルを使用して Cloud Compliance を提供し、 CIFS ボリュームをスキャンできるようにします。
-
Cloud Manager の上部で、 * Compliance * をクリックします。
-
右上の * CIFS Scan Status をクリックします。
ボタンを示す [Compliance] タブのスクリーンショット。"]
-
各 Cloud Volumes ONTAP システムについて、 * CIFS クレデンシャルの編集 * をクリックし、クラウド・コンプライアンスがシステム上の CIFS ボリュームにアクセスするために必要なユーザ名とパスワードを入力します。
クレデンシャルは読み取り専用ですが、管理者のクレデンシャルを指定することで、 Cloud Compliance は昇格された権限が必要なデータを読み取ることができます。クレデンシャルは Cloud Compliance インスタンスに保存されます。
クレデンシャルを入力すると、すべての CIFS ボリュームが認証されたことを示すメッセージが表示されます。
-
Cloud Manager から Cloud Compliance にアクセスできることの確認
Cloud Manager と Cloud Compliance の間の接続を確認し、 Cloud Compliance が検出したコンプライアンスの分析情報を確認します。
-
Cloud Manager のセキュリティグループで、 Cloud Compliance インスタンスとの間のポート 80 経由のインバウンドおよびアウトバウンドのトラフィックが許可されていることを確認してください。
この接続により、 [ コンプライアンス ] タブに情報を表示できます。
-
AWS ネットワークがインターネットアクセスに NAT やプロキシを使用しない場合は、 Cloud Manager のセキュリティグループを変更して、 Cloud Compliance インスタンスからの TCP ポート 3128 経由のインバウンドトラフィックを許可します。
これは、 Cloud Compliance インスタンスが、インターネットへのアクセスにプロキシとして Cloud Manager を使用するためです。
このポートは、すべての新しい Cloud Manager インスタンスで、バージョン 3.7.5 以降でデフォルトで開きます。それより前のバージョンで作成された Cloud Manager インスタンスでは開きません。