テナントとクライアント接続を管理する
グリッド管理者は、 S3 および Swift クライアントがオブジェクトの格納および読み出しに使用するテナントアカウントを作成して管理し、またクライアントが StorageGRID システムに接続する方法を制御する設定オプションを管理します。
テナントアカウント
テナントアカウントを使用すると、 StorageGRID システムでオブジェクトの格納と読み出しを実行できるユーザを指定し、どの機能を利用可能とするかを設定できます。テナントアカウントは、 S3 REST API または Swift REST API をサポートするクライアントアプリケーションが、 StorageGRID でオブジェクトの格納や読み出しを行うことを可能にします。テナントアカウントでは、それぞれ S3 クライアントプロトコルまたは Swift クライアントプロトコルのどちらかを使用します。
StorageGRID システムにオブジェクトを格納するために使用されるクライアントプロトコルごとに、テナントアカウントを少なくとも 1 つ作成する必要があります。必要に応じて、システムに格納されているオブジェクトをエンティティごとに分ける場合は、追加のテナントアカウントを作成します。各テナントアカウントには、フェデレーテッド / ローカルグループとユーザ、および独自のバケット( Swift の場合はコンテナ)とオブジェクトがあります。
Grid Manager またはグリッド管理 API を使用してテナントアカウントを作成できます。テナントアカウントを作成する際には次の情報を指定します。
-
テナントの表示名(テナントのアカウント ID は自動的に割り当てられ、変更できません)。
-
テナントアカウントが S3 と Swift のどちらを使用するか。
-
S3 テナントアカウントの場合:テナントアカウントにプラットフォームサービスの使用を許可するかどうか。プラットフォームサービスの使用が許可されている場合は、グリッドがその使用をサポートするように設定されている必要があります。
-
必要に応じて、テナントアカウントのストレージクォータ — テナントのオブジェクトで使用可能な最大ギガバイト数、テラバイト数、ペタバイト数。テナントのストレージクォータは、物理容量(ディスクのサイズ)ではなく、論理容量(オブジェクトのサイズ)を表します。
-
StorageGRID システムでアイデンティティフェデレーションが有効になっている場合は、テナントアカウントを設定するための Root Access 権限が割り当てられているフェデレーテッドグループ。
-
StorageGRID システムでシングルサインオン( SSO )が使用されていない場合は、テナントアカウントが独自のアイデンティティソースを使用するか、グリッドのアイデンティティソースを共有するか、およびテナントのローカル root ユーザの初期パスワード。
S3 テナントアカウントが規制要件に準拠する必要がある場合、グリッド管理者は StorageGRID システムに対して S3 オブジェクトのグローバルロック設定を有効にできます。システムで S3 オブジェクトのロックが有効になっている場合、すべての S3 テナントアカウントで S3 オブジェクトのロックを有効にしたバケットを作成し、そのバケット内のオブジェクトバージョンの保持設定とリーガルホールド設定を指定できます。
テナントアカウントが作成されると、テナントユーザが Tenant Manager にサインインできるようになります。
StorageGRID ノードへのクライアント接続
テナントユーザが S3 または Swift クライアントを使用して StorageGRID でデータの格納や読み出しを行う前に、それらのクライアントが StorageGRID ノードに接続する方法を決定する必要があります。
クライアントアプリケーションは、次のいずれかに接続することで、オブジェクトを格納または読み出すことができます。
-
管理ノードまたはゲートウェイノード上のロードバランササービス。これが推奨される接続です。
-
ゲートウェイノード上の CLB サービス。
CLB サービスは廃止されました。 -
外部ロードバランサを使用するかどうかに関係なく、ストレージノードに追加されます。
クライアントがロードバランササービスを使用できるように StorageGRID を設定する場合は、次の手順を実行します。
-
必要に応じてハイアベイラビリティ( HA )グループを設定します。HA グループを作成すると、複数の管理ノードとゲートウェイノードのインターフェイスがアクティブ / バックアップ構成に追加されます。クライアント接続は、 HA グループの仮想 IP アドレスを使用して確立されます。
-
ロードバランササービスのエンドポイントを設定する。管理ノードまたはゲートウェイノード上のロードバランササービスは、クライアントアプリケーションからの受信ネットワーク接続を複数のストレージノードに分散します。ロードバランサエンドポイントを作成する際には、ポート番号、エンドポイントで HTTP / HTTPS 接続を許可するかどうか、エンドポイントを使用するクライアントのタイプ( S3 または Swift )、 HTTPS 接続に使用する証明書(該当する場合)を指定します。
-
ノードのクライアントネットワークへの接続がすべてロードバランサエンドポイントで行われるようにする場合は、ノードのクライアントネットワークを信頼されていないものとして指定します。