テナントとクライアント接続の管理

グリッド管理者は、S3およびSwiftクライアントがオブジェクトの格納および読み出しに使用するテナント アカウントを作成して管理し、またクライアントがStorageGRIDシステムに接続する方法を制御する設定オプションを管理します。

テナント アカウント

テナント アカウントを使用すると、StorageGRIDシステムでオブジェクトの格納と読み出しを実行できるユーザを指定し、どの機能を利用可能とするかを設定できます。テナント アカウントは、S3 REST APIまたはSwift REST APIをサポートするクライアント アプリケーションが、StorageGRIDでオブジェクトの格納や読み出しを行うことを可能にします。テナント アカウントでは、それぞれS3クライアント プロトコルまたはSwiftクライアント プロトコルのどちらかを使用します。

StorageGRIDシステムにオブジェクトを格納するために使用されるクライアント プロトコルごとに、テナント アカウントを少なくとも1つ作成する必要があります。システムに格納されているオブジェクトをエンティティ別に分離する場合は、追加のテナント アカウントを作成できます。各テナント アカウントには、フェデレーテッド / ローカル グループとユーザ、および独自のバケット(Swiftの場合はコンテナ)とオブジェクトがあります。

テナント アカウントを作成するには、Grid Managerまたはグリッド管理APIを使用します。テナント アカウントを作成する際には次の情報を指定します。
  • テナントの表示名(テナントのアカウントIDは自動的に割り当てられ、変更できません)。
  • テナント アカウントがS3とSwiftのどちらを使用するか。
  • S3テナント アカウントの場合:テナント アカウントにプラットフォーム サービスの使用を許可するかどうか。プラットフォーム サービスの使用を許可する場合は、その使用をサポートするようにグリッドを設定する必要があります。
  • (オプション)テナント アカウントのストレージ クォータ(テナントのオブジェクトに使用できる最大のギガバイト数、テラバイト数、またはペタバイト数)。テナントのストレージ クォータは、物理容量(ディスクのサイズ)ではなく、論理容量(オブジェクトのサイズ)を表します。
  • StorageGRIDシステムでアイデンティティ フェデレーションが有効になっている場合は、テナント アカウントを設定するためのRoot Access権限が割り当てられているフェデレーテッド グループ。
  • StorageGRIDシステムでシングル サインオン(SSO)が使用されていない場合は、テナント アカウントが独自のアイデンティティ ソースを使用するのかまたはグリッドのアイデンティティ ソースを共有するのか、およびテナントのローカルrootユーザの初期パスワード。

また、S3テナント アカウントが規制要件に準拠する必要がある場合は、StorageGRIDシステムの準拠設定を有効にします。準拠を有効にすると、すべてのS3テナント アカウントで準拠バケットを作成し、管理できます。

テナント アカウントが作成されると、テナント ユーザがTenant Managerにサインインできるようになります。

StorageGRIDノードへのクライアント接続

テナント ユーザがS3またはSwiftクライアントを使用してStorageGRID内のデータを格納および読み出せるようにするには、クライアントがStorageGRIDノードに接続する方法を設定する必要があります。

クライアント アプリケーションは、次のいずれかに接続することで、オブジェクトを格納または読み出すことができます。
  • 管理ノードまたはゲートウェイ ノード上のロード バランサ サービス。この接続を使用することを推奨します。
  • ゲートウェイ ノード上の従来型CLBサービス。
  • ストレージ ノード(外部ロード バランサの使用は任意)。
クライアントがロード バランサ サービスを使用できるようにStorageGRIDを設定する場合は、次の手順を実行します。
  1. ロード バランサ サービスのエンドポイントを設定します。管理ノードまたはゲートウェイ ノード上のロード バランサ サービスは、クライアント アプリケーションからの受信ネットワーク接続を複数のストレージ ノードに分散します。ロード バランサ エンドポイントを作成する際には、ポート番号、エンドポイントでHTTP / HTTPS接続を許可するかどうか、エンドポイントを使用するクライアントのタイプ(S3またはSwift)、HTTPS接続に使用する証明書(該当する場合)を指定します。
  2. ノードのクライアント ネットワークへの接続がすべてロード バランサ エンドポイントで行われるようにする場合は、ノードのクライアント ネットワークを信頼されていないものとして指定します。
  3. 必要に応じてハイアベイラビリティ(HA)グループを設定します。HAグループを作成すると、複数の管理ノードとゲートウェイ ノードのインターフェイスがアクティブ / バックアップ構成に追加されます。クライアント接続は、HAグループの仮想IPアドレスを使用して確立されます。