2018年10月
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

最近のトラックバック

ダメ人間友の会

無料ブログはココログ

カテゴリー「QNAP TS-859 Pro」の20件の記事

2010年5月19日 (水)

QNAP TS-859 Pro Turbo NASを買ってみた(その20)

【アクセス権管理>共有フォルダ】
その20まできましたが、まだアクセス権の続きになります・・・その19で既にちょろっと出てきましたが、【アクセス権管理>共有フォルダ】です。こちらの設定画面には、「共有フォルダ」と「フォルダ集約」の2つのタブが存在します。

【アクセス権管理>共有フォルダ>共有フォルダ】
Ts859pro80s「共有フォルダ」は前回紹介した通り、ディレクトリ毎にユーザに対するアクセス権の設定の他、共有設定がなされているディレクトリの物理的なマウント先の変更、NFSにおけるアクセス制御、WebDAVのアクセス制御等を設定することができます。

【アクセス権管理>共有フォルダ>共有フォルダ>プロパティ】
Ts859pro81sTs859pro82sRAIDを構成し新たに共有ディレクトリを作成する際に、いずれのRAIDボリュームを利用するかを設定することができますが、こちらでその変更をすることが可能です。TS-859 Proはご存じの通り、8本のハードディスクを内蔵できるため、例えば、2本のハードディスクでRAID 0ボリューム、2本のハードディスクでRAID 1ボリューム、残り4本のハードディスクでRAID 6ボリュームと、3つのRAIDボリュームを構成すると言ったことが可能です。従って、最初はRAID 0ボリュームに割り当てていた共有ディレクトリを、後々RAID 6ボリュームに変更したい・・・と言った場合にはこちらで変更することが可能です。

このほか、Windows等のマイネットワークに表示させず、パスを入力すると見ることができると言った、無線LAN等のステルス機能的な設定や、ファイルのロックの設定有無、このほか、FTP接続を許可するかと言った設定もこちらから可能です。

ファイル共有を主として利用する場合を考えると、ファイルのロックの設定は変更しないほうがいいでしょう。それからWindows等のマイネットワークに表示させたくない等の要件は、利用している人次第・・・そんでもって、FTPの接続許可はセキュリティホールになりやすいのでデフォルトのまま拒否設定がいいかと個人的には思っています。もちろんFTPで接続する要件が必要だと言う場合は、こちらで許可設定を行います。

【アクセス権管理>共有フォルダ>共有フォルダ>アクセス権】
こちらは、既に前回紹介しているので割愛します。・゚・(ノ∀`)・゚・。

【アクセス権管理>共有フォルダ>共有フォルダ>NFS】
Ts859pro85sTs859pro86sNFSについては、今回は利用しませんが、ネットワーク内にLinuxマシンが稼働している場合等には、利用する可能性が高いかもしれません。NFSを利用し、かつこちらの管理コンソール画面で設定を行う場合は、通常のファイル共有のために利用するディレクトリの作成を行うところまでは一緒で、作成したディレクトリをsambaアクセス用として利用するのではなく、単にNFS接続用として利用するだけとなります。

【アクセス権管理>共有フォルダ>共有フォルダ>WebDAV】
Ts859pro87sWebDAV機能ですが、ブラウザ上から共有ディレクトリ等へアクセスし、ブラウザ上でファイルの書き込みや読み込み等を行うことができるようにするものです。ただWebDAVは仕組みそのものがセキュリティホールとなり得る他、過去にも度々脆弱性が指摘されているので、なるべく利用しない方がいいかと個人的には思っており、利用可能な状態にはしていません。

尤もLAN内であればそれほど神経質になる必要もない・・・とは思いますが、TS-859 Proを含めQNAP製品やその他のNAS製品をインターネットに公開する場合は、ファイアーウォール等を設置したり、よほどのセキュリティ設定を行って、かつある程度リスクを覚悟しない限りは、WebDAV機能はオフにしておいが方がいいかと思います。・゚・(ノ∀`)・゚・。

Ts859pro89sもし、WebDAVを利用する場合は多少の設定が必要になります。WebDAVはHTTPプロトコルを利用しておりウェブサービスとして提供されることから、TS-859 Pro上でウェブサーバを起動する必要があります。こちらの設定は、【ネットワークサービス>Webサーバ】で「Webサーバを有効にする」そして「WebDAVを有効化」の両方にチェックを入れないとそもそも利用できない機能ですので、ご注意ください(´∀`)

Ts859pro88s先でも後でも構いませんが、先ほどの【アクセス権管理>共有フォルダ>共有フォルダ>WebDAV】でアクセス権をデフォルトの「アクセス拒否」から「読み込みのみ」もしくは「フルアクセス」とした上で、ユーザないしはグループ毎にWebDAVの利用許可設定を行います。

ウェブサーバとWebDAV機能が有効になったら、ネットワークドライブの割り当ての後、ブラウザを起動して、URLにhttp://[TS-859 ProのIPアドレス]/[共有ディレクトリ名]/を入力することでWebDAVアクセスが可能になります。

ファイル共有ディレクトリでExplorerやファイル名を指定して実行等でアクセスする際ののパスは\\[TS-859 ProのIPアドレス]\Share\[共有ディレクトリ名]ですが、WebDAVアクセスの場合のURLは、http://[TS-859 ProのIPアドレス]/[共有ディレクトリ名]/で"Share"が入りませんので、重ねてご注意を。






posted by Amazon360

2010年5月16日 (日)

QNAP TS-859 Pro Turbo NASを買ってみた(その19)

TS-859 Proは、QNAPがDebian LinuxをベースにしたオリジナルのOSが動作しており、ユーザやグループの各種ディレクトリやファイルアクセス権管理はsambaの挙動そのものです。

Ts859pro67sさてその18で、TS-859 Proの共有ディレクトリに対するアクセス権の管理の挙動を分かり易くするために、敢えてハードディスク4本でRAID5を構成した"SHARE_RAID5"と言うディレクトリのみ読み込み/書き込み権を設定しそれ以外のディレクトリについてはすべて拒否を設定しました。

Ts859pro70sんじゃ実際にTS-859 Proがどのようにこれらの設定に対し振る舞うかを見ていきます。まずは、ファイル名を指定して実行、もしくは、Explorerのアドレスに\\[TS-859 ProのIPアドレス]を入力します。そうすると、アクセス権は別として、ひとまずTS-859 Proで共有設定がされている各種ディレクトリが見えます。

Ts859pro71sまずは、"Public"ディレクトリにアクセスしてみます。こちらのディレクトリは、アクセス拒否を設定しています・・・が、あっさりアクセスできてしまいます。ここでオカシイ(正確には正しい挙動なのですが)はユーザ名とパスワードを要求されてない・・・

Ts859pro72sTs859pro73sやや、訝しげに思いつつも次は、読み込み/書き込みを許可設定したRAID5を構成した"SHARE_RAID5"と言うディレクトリにアクセスします。ココで、初めてTS-859 Proの共有ディレクトリにアクセスするためにユーザ名とパスワードが要求されるので、作成したユーザ"nasuosan"とパスワードを入力すると問題なくアクセスが可能です。

Ts859pro75s次に"Download"と言うディレクトリにアクセスすると・・・アクセスが拒否されました。こちらも想定通りの挙動です。他にも"Multimedia"や"Usb"、"Web"等、"SHARE_RAID5"以外のディレクトリにアクセスを行っていきますが、すべて"nasuosan"ユーザは設定通りにアクセスが拒否されます。

で、もう一度、最初にアクセスできた"Public"ディレクトリにアクセスをしてみると、今度は拒否されました・・・つー訳で勘の良い方ならもう解ったかもしれませんが"Public"ディレクトリへのアクセスについて、アクセスできた場合とできなかった場合の違いは、ユーザ名とパスワードを入力しているか、していないかの違いになります。

ここで、作成したユーザ"nasuosan"に付随するアクセス権ではなく、"Public"ディレクトリに付随するアクセス権を見てみます。共有ディレクトリに付随するアクセス権設定の画面は【アクセス権管理>共有フォルダ】で見ることができます。

Ts859pro76sんで、共有フォルダタブの中、"フォルダ名"と表示されている列にTS-859 Proで共有設定されている各種ディレクトリが表示されているので、"Public"の行にある"動作"と表示されているアイコンの中からフォルダっぽいアイコンをクリックすると、"Public"ディレクトリのアクセス権設定を見ることができます。

Ts859pro77sTs859pro78s"Public"には、2つのユーザに関するアクセス権が設定されています。"Admin"は当然アクセス可能な状態になっていますが、作成したユーザ"nasuosan"は、アクセス拒否となっています。んで、よーくよく画面を見ていると、各ユーザのアクセス権の設定の他に「ゲストのアクセス権:」と表示されたプルダウンがあり、プルダウンの設定が"フルアクセス"となっています。

Ts859pro79sおお?と思って別の共有ディレクトリ、例えばアクセスが拒否された"Download"ディレクトリのアクセス権を見てみると、作成したユーザ"nasuosan"は、アクセス拒否となっているのは当然として、「ゲストのアクセス権:」のプルダウンの設定が"アクセス拒否"となっています。勿論、"SHARE_RAID5"ディレクトリも「ゲストのアクセス権:」のプルダウンの設定が"アクセス拒否"となっています。

つまり、最初の1度目のアクセスで"Public"にアクセスした際には、ユーザ名もパスワードも要求されませんでしたが、どうやら裏ではゲストと言うユーザ情報でアクセスした扱いとなったため"Public"ディレクトリにアクセスできました。しかし、"SHARE_RAID5"ディレクトリには、ゲストのユーザではアクセス拒否が設定されており、それ以外のユーザ名とパスワードが必要となり、ユーザ"nasuosan"の資格情報でアクセスを行いました。

んで、その後、もう1度"Public"ディレクトリにアクセスしようとしたらアクセス拒否されてしまったのは、ゲストというユーザ資格でのアクセスでなく、作成したユーザ"nasuosan"のユーザ資格でアクセスしようとしたため、"Public"ディレクトリのアクセス権設定通り、"nasuosan"はアクセス拒否設定としているため、正しい挙動となります。

このへんの共有ディレクトリへのアクセスの際に利用しようとするユーザ資格情報が、一番直近でログインに成功したユーザをデフォルトとする挙動はWindows特有なんでしょーかね・・・何が言いたかったかと言うと、ユーザのアクセス権だけでなく、ディレクトリのアクセス権と言うのもあるので、それなりにアクセス制限をかけたい人は、きちんとディレクトリのアクセス権、その中でも特にゲストに関するアクセス権の設定も忘れずにネ!と言うことでした(´∀`)






posted by Amazon360

2010年5月13日 (木)

QNAP TS-859 Pro Turbo NASを買ってみた(その18)

【アクセス権管理>ユーザ】
Ts859pro61sデフォルトでは、Admin(ビルトイン管理者権限ユーザ)のみが存在しています。ただし、この画面上には表示されていませんが、GuestとAnonymousユーザも存在しており、こちらは特殊なユーザとなっています。検索ボックスの隣に「ローカルユーザ」の表示があり、プルダウンをクリックすると、ドメインユーザとの切り替えが可能となっています。

Ts859pro62sと言う訳で、とっととユーザを作成していきます。ユーザの追加は、ユーザの検索ボックスの右隣のボタン群から「+ユーザの追加」をクリックすることでウィザードが開始されます。また、「+ユーザのインポート」ボタンをクリックし、指定のフォーマットに沿ってユーザ名等が記載されたCSV形式ファイル等を読み込むことで一括作成することも可能となっています。

Ts859pro63sここでは、その17で作成したnas_userのグループに所属する一般ユーザを作成します。ユーザ名は適当に"nasuosan"とでもしておきます。併せてパスワードも設定します。ウィザード画面の注意にも記載されていますが、パスワードは6文字以上じゃないとウィザードが進みませんので、きちんとパスワード設定しましょう。

Ts859pro64s容量制限の設定画面で、いわゆるクォータの設定を行えるハズなのですが、このウィザード中ではデフォルトで強制的に無効設定のまま進みます。基本的に個人や家庭等で利用している際にはあまり必要のない機能ですが、企業内にて担当や各ユーザ毎に、クォータの設定を行いたい場合には、一度このままユーザ作成を完了してから、別画面からクォータ設定を行います。

Ts859pro65s次に、作成したユーザ"nasuosan"がいずれのグループに所属するのかを設定します。今回は、その17で作成した"nas_user"と言うグループに所属するように設定します。nas_userのチェックボックスにチェックを入れます。ちなみに"everyone"にはデフォルトでチェックが入りこちらは変更ができません。

Ts859pro66s個人共有フォルダの設定です。これは複数のユーザにてTS-859 Proを含め共有ファイルサーバ等を利用する際に、ユーザだけが利用できるディレクトリを作成するか否かを決める画面になります。家庭や個人で利用する場合には、あまり必要としませんが、家族で利用する場合や、企業内においてユーザ毎に利用するディレクトリを指定したい場合には、こちらを設定します。sambaやLinux/Unixで作成されるユーザ毎のhomeディレクトリのようなものだと理解してくのがいいかと思いますが、今回は特にこちらは設定しないのでそのまま特に変更せずに次に進みます。

Ts859pro67s次に、現在TS-859 Pro上に存在する各ディレクトリに対するアクセス権を設定します。TS-859 Proはデフォルトでいくつかのディレクトリが存在しており、その他にRAID構成を設定し新たにファイル共有用途で作成したディレクトリ等もあります。これらディレクトリ対しアクセス権を設定してきます。今回は、TS-859 Proでのアクセス制御について分かり易くするため、ハードディスク4本でRAID5を構成した"SHARE_RAID5"ディレクトリには読み込み/書き込み両方それ以外のディレクトリについてはすべて拒否を設定しておきます。最後設定の確認を行い、問題なければ継続ボタンをクリックしてユーザ作成を完了します。

ここで「分かり易い」と記載したのには意味があります。ユーザ自体に付随するアクセス権設定、グループに付随するアクセス権設定、そして各ディレクトリ毎に付随するアクセス権設定があり、それらはそれぞれ独立したアクセス制御の権限をもっているからです。

Ts859pro68sTs859pro69sちょっと含みを持たせた書き方をしましたが"とりあえず"通常利用するためのユーザが作成され、なるべく利用しないディレクトリ等にはアクセスできず、ファイル共有のためだけのユーザとなります。ただ、一般的にTS-859 Proでファイル共有をメインで考えるなら、これで問題ありません。

で、長くなってきたので、TS-859 Proでのアクセス権について、もう少し詳しい話を含めて、次回に続く~






posted by Amazon360

2010年5月12日 (水)

QNAP TS-859 Pro Turbo NASを買ってみた(その17)

【アクセス権管理】
Ts859pro52s前回、前置きが長くなってしまいましたがアクセス権管理です。アクセス権管理は「ユーザ」「グループ」「共有フォルダ」「容量制限」の4つの設定項目から構成されており、見たままで特に難しいことはないかと思います。ただし、ドメイン構成を取っている場合は、多少話が変わってきますが、今回の場合はドメインなしの環境での利用を想定した紹介をしていきます。

今回は、TS-859 Proのファイル共有サーバにアクセスする管理者権限等を持たない一般的なユーザを作成していきます。作成するユーザは、新たに作成するグループに所属し、それらユーザとグループは、RAIDを構成し新たに作成したディレクトリに対しアクセス権を持っていると言った感じにしていきたいと思います。

【アクセス権管理>グループ】
で・・・順番が前後しますが、先にグループを作成します。これは、ユーザを作成した際に、ウィザードの途中で、作成したユーザがいずれかのグループに所属するかを決定する必要があるからです。尤も先にユーザを作成しておいてeveryoneグループ所属にしておいても、グループの作成ウィザード中に作成したグループに所属するユーザを選択できるので、どちらでもイイと言えばイイのですけどね。・゚・(ノ∀`)・゚・。

Ts859pro53sグループはデフォルトで、Administrators(ビルトイン管理者権限グループ)とeveryone(ビルトインのすべてのユーザが所属する権限の低いグループ)が存在しています。グループにはローカルグループとドメイングループがありますが、今回は、先に書いたとおり、特にドメインは存在しない環境での利用を想定していますので、説明は割愛します。

今回作成するユーザ及びグループは、everyoneよりは権限があるけど、Administratorsよりは権限が低いと言う設定で作成します。んで、さっそくグループ作成ウィザードを開始します。ウィザードの開始は、「+ユーザグループの作成」ボタンをクリックすることで開始します。

Ts859pro54sTs859pro55sTs859pro56sグループ名を決める画面です。ここでは、安易ですがnas_userとしておきます。・゚・(ノ∀`)・゚・。次に作成するグループのユーザ割り当てですが、今回はまだユーザを作成していないので「いいえ」を選択しウィザードを続行し、グループの作成を完了します。

Ts859pro57sTs859pro58sこれでグループが追加されました。後々、新たに適当なユーザを作成し、ユーザが所属するグループを変更したいといった場合には、こちらのボタンをクリックすると、グループ毎にどのユーザが所属するかしないかの編集が可能です。

Ts859pro59sTs859pro60sこちらのボタンは、TS-859 Pro上に存在する各共有ディレクトリに対し、グループがどのようなアクセス権を持っているかの確認、グループの共有ディレクトリに対するアクセス権を編集するが可能となり画面を開きます。基本的には、ユーザ個別にディレクトリへのアクセス権を付与しますが、そのユーザが所属するグループに対し、一律でのアクセス権を付与する際に、こちらで設定を行います。

見ての通り、今作成したグループには、アクセス権は一切存在しません。いまこちらでアクセス権の設定を行ってもよいですが【アクセス権管理>共有フォルダ】また【アクセス権管理>ユーザ】からもほぼ同様の操作が可能です。

と言うことで、グループ作成完了~で次ぎユーザ作成を・・・と言うところで長くなってきたのでつづくー。・゚・(ノ∀`)・゚・。






posted by Amazon360

2010年5月10日 (月)

QNAP TS-859 Pro Turbo NASを買ってみた(その16)

さて、しばらく間が空いてしまいましたが、引き続きQNAP TS-859 Proの設定についてです。その15までで、「システム管理」「ディスク管理」を見てきました。今回は、「アクセス権管理」となります。

TS-859 Proの初期設定において、TS-859 Proを利用するのに必要最低限の基本設定を行う「システム管理」、TS-859 Proで運用するハードディスクの認識や、RAIDの構成を行う「ディスク管理」と設定を終え、一応はこの状態ですぐにTS-859 Proをファイル共有サーバとして利用することが可能な状態になっています。

しかし、今回は、TS-859 Proで初期設定されているディレクトリや、RAIDを構成して利用可能となるディスク領域を利用した新たなディレクトリを共有する際に、利用するユーザに応じて、ユーザIDやグループを設定、アクセスする際のパスワードの設定やアクセスを許可するディレクトリの設定、その他、ユーザ毎のファイル書込み容量を制限したりすると言った設定を行う「アクセス権管理」を見ていきます。

アクセス権管理を利用するシナリオとしては、やはり企業ユースでの利用が想定されますが、このほかにも商用/非商用を問わず、TS-859 Proを外部公開しなんらかのウェブサービス等を提供するといったシナリオでも必要になると思われます。

ただし、一般ユースで利用する機会がないかと問われると"ない"とも言えません。また、TS-859 Proに限らず、他の機種や、他社のNAS製品、またはサーバと呼称されるマシン等については、アクセス権管理をしっかり行ったほうが、セキュリティ的にも良いと言えます。

例えば家庭内のLANでTS-859 Proないし、他の機種、また他社のNAS製品等を利用しているとします。LAN内のあるPCがワームに感染する、またはバックドアを仕込むウイルスを踏んでしまったと言った際に、これらLAN内のサーバを含む他のマシン等にアクセス権の設定やパスワードの設定が行われていない場合、ウイルスやワーム、またはバックドアからの侵入者の意のままにファイルサーバへのアクセスや操作、ウイルスのコピー等が行われ、被害が拡大する恐れがあります。

逆に言えば、これらTS-859 Proを含め、サーバ等に適切なユーザ設定やアクセス権の設定を行っておけば、被害はウイルスやワームを踏んだPCのみに局所化し被害を最小限に抑えることが期待できます。たとえウイルス等に感染したPCからTS-859 Proやサーバ等にアクセスやアタックが行われた場合でも、アクセス権の設定等が行われていた場合、特定のディレクトリのみの被害で済む可能性や、パスワードの解析等に時間がかかるため、対策にかける時間を捻出することも期待できます。

そんな訳で・・・家庭内で利用するのに、いちいちユーザ設定なんか面倒だ不便だ、最初からある管理者権限でパスワードなしもしくは初期設定のパスワードでいいじゃん?って思うかもしれませんが、上述のような被害にいつ遭わないとも限りません。多少大げさかもしれませんが、家庭内のLAN等で利用する場合にも、アクセス権の管理は行っておいたほうがいいと思います。・゚・(ノ∀`)・゚・。

っても、うだうだ書いてきましたが、アクセス権管理と言っても、実際に企業等で利用する場合に比べれば、家庭内で利用する際の設定は、大雑把に以下の3つを考えておけば充分なので、あまり難しく考えて構える必要はないと思います(´∀`)

 1.利用するユーザ名と所属するグループ名を1つ検討と設定(※1)
 2.利用するユーザのアクセス可能なディレクトリの検討と設定
 3.利用するユーザのパスワードの検討と設定

※1:こで決めるのは管理者権限ではない通常権限のユーザ、グループの設定は場合によっては必要ない場合もあります。

理想を言えば、このほかにはビルトインユーザ、つまり最初からTS-859 Pro等に初期設定されているユーザ、Windows XP等で言えばAdministratorや市販のその他のNAS製品で言えばGuestと言ったユーザを無効(※2)にして、Administrator権限と同等のユーザやGuestと同等のユーザ等を別のユーザ名(※3)で作成して運用するのがいいでしょうが、今回は、そこまではしません。

※2:ビルトインユーザを無効にすると、特定の製品においては一部機能が利用できなくなったりする場合もあるので、利用する製品のマニュアル等をよく読んだ上で作業を実施するのが良いでしょう。

※3:なぜ、別のユーザ名にすると良いかですが、アタック等は様々なOSやサーバ、各種の製品において既知のユーザ・・・つまり初期設定で存在するビルトインユーザの名前が狙われることが多く、これらとは違うユーザ名にするだけで、アタックを防ぐ効果があります(もちろんそれだけでは防げませんが一定の効果を得ることができます)。

んでは前置きが長くなりましたが、いよいよQNAP TS-859 Proの「アクセス権管理」を見ていこうと思ったところで次回に続く~。・゚・(ノ∀`)・゚・。






posted by Amazon360

2010年4月13日 (火)

QNAP TS-859 Pro Turbo NASを買ってみた(その15)

さらにiSCSIの話の続きです・・・

TS-859 Proを含めたQNAP製品やその他の複数ドライブが搭載できるNAS製品では、iSCSI規格に対応している製品が多く、それに対し一般に普及しているOSのほとんどにもiSCSIイニシエータが実装されているため、iSCSIが利用可能な環境は整っています。

自宅のPC環境やちょっとしたオフィス環境等で、iSCSIがあると何が嬉しいのか?と言うことになると、PCに余計なハードディスク搭載しなくてもよくなることです。例えば一番簡単な例が、OSが起動するSSDなりハードディスクが1台のみあれば、データ領域として利用する部分を全部iSCSIでまかなってしまうことができます。さらに言うと、iSCSI Bootを利用するとOS起動領域すらiSCSIにお任せすることができるので、PCをディスクレスにすることすらできます。

iSCSIの利点は、このほかにもネットワークで接続しているにも関わらず、パフォーマンスがそこそこ出る言うことにあります。ある程度のレンジのiSCSI対応NAS製品だと、PCに物理的に接続されている単体のハードディスクの読み書き速度に近い速度が出るほか、iSCSI接続されたドライブは、ブロック単位でアクセスが行われ、ファイル単位でアクセスが行われるNASのCIFS/SMB接続より高いパフォーマンスが出ることもあります。

PCのディスク容量が足りないので増設したーい、と言うときに、iSCSI対応の度のNAS製品を用意しておけば、ハードディスクを購入し、PCを開けてハードディスクを増設して~という作業をしなくても良い訳です。OSのiSCSIイニシエータからiSCSIターゲットを指定して、自分のPCにマウントすれば、あっという間にローカルディスクを増やすことができます(´∀`)/

QNAPのNAS製品は、Linuxをベースとした専用OSで動作していますが、普通のLinuxディストリビューション・・・CentOSやFedora、VineやDebianだけでなく、UNIXのHP-UXやSolaris、AIX等でもiSCSIターゲットを構成すること、また逆にiSCSIイニシエータも実装されており、様々なプラットフォーム上でiSCSIが利用できます。

おうちでFedora等のLinuxサーバを運用していて、そこにディスクが沢山ぶら下がっていたとします。iSCSIターゲットパッケージをダウンロードしてきて、iSCSIターゲットを構築し、クライアントPCからiSCSIイニシエータを利用してiSCSI接続を行うと言ったこともiSCSI対応NAS製品がなくともできます(ただし、パフォーマンスを出したい場合、それなりのRAIDカードとネットワークカードも必要になる場合がありますが。。。)。

なんとなくiSCSIはとても良いものだと言う感じで紹介してきましたが、iSCSIには不得意な部分というか、できないものもあります(厳密にはできないと言うことはありませんが・・・)。それは、iSCSIでファイル共有を実現することです。

iSCSIと言うキーワードのについて、コンシューマ市場への浸透を強めた理由としてiSCSI対応のNAS製品が元々NASでのファイル共有をメイン用途としているので勘違いしやすいですが、iSCSI接続を行ったPCでは、あたかもローカルドライブとして見えるため、そこにファイル共有という形で他のPCからも見えていると利用の上で色々と不都合が発生します。

CIFS/SMB接続で行われるネットワークドライブとして見える共有ドライブ上では、ファイルのロック等の管理が行われ、複数のPC等からの共有を行う上での仕組みが、NAS上のファイルシステムとして提供されています。

対してiSCSIは、利用するPC、OSからはRAWデバイス、ローカルドライブのように見え、前述の通り、iSCSI接続しに来るPCのOSファイルシステムでフォーマットされ利用することを前提としています。従って、他のファイルシステムを利用するOSからの接続を含め、共有を行う仕組みがありません(そもそもCIFS/SMBとiSCSIを同じレイヤー上で比較すること自体がちょっとオカシイと言う話もありますが。。。)。

それでもiSCSIを利用しながらファイル共有も実現したいとなると、多少面倒な設定が必要になります。例えば、TS-859 ProのiSCSIターゲットにWindows ServerのiSCSIイニシエータで接続してディスクをマウント、そのマウントされたディスク領域に対して、Windows Server上でファイル共有の設定(この場合ファイル共有の制御をWindows Serverが行う)を行い、共有設定されたドライブに対して、クライアントPCからネットワークドライブとして利用する・・・と言った方法が考えられますが、直接TS-859 ProにCIFS/SMB接続したほうが、面倒がありません。・゚・(ノ∀`)・゚・。

そんな訳で、iSCSIにも使いどころがあり、一般的にNAS等で行われるファイル共有とはちょっと違う、と言うことを覚えておくと少しだけ幸せになれるかもしれません(´∀`)・・・と〆たところでiSCSIの話は終わりにして、次回から引き続きQNAP TS-859 Pro Turbo NASの話に戻ります。・゚・(ノ∀`)・゚・。






posted by Amazon360

2010年4月12日 (月)

QNAP TS-859 Pro Turbo NASを買ってみた(その14)

さて、閑話休題と言うことで、今更ながらにiSCSIとはなんぞや?と言う疑問については、ぶっちゃけてしまうと、SCSI接続と通信をTCP/IPにくるんでしまったモノと言うことになります。

SCSI接続のドライブが一世を風靡したのは、既に10年以上も前の話で、昔は、MOや外付けハードディスク等は、Ultra SCSIやUltra Wide SCSIと言った接続が主流でしたが、今はIDEやSATA、USBに取って代わられ、SCSI接続の機器は、サーバ製品で利用されるLTOやDAT、SAS(Serial Attached SCSI)のハードディスク以外ではほとんど見られなくなりました。

で、iSCSIはLANやWANのネットワークを介してSCSI機器を接続してしまおうという規格になります。一般にPCユーザからの見た目のNASとiSCSIの一番の違いについて暴論じみた解説をするなら、接続されたディスクがネットワークドライブに見えるか、ローカルドライブに見えるかと言うことなりなます。

iSCSIの規格自体は、コンシューマにおけるSCSI規格が廃れてきた時期、つまり、かなり昔からありましたが、一般に利用できるところに来るまでには多少待たなければいけませんでした。

大規模商用利用、エンタープライズ製品では、IP-SANによるiSCSIではなく、FC(Fiber Chanel)-SAN(Storage Area Network)が主流で、iSCSIはそのまま廃れていくものかと思われましたが、ギガビットイーサの登場とギガビットイーサ対応製品の急激な低価格化、一般への普及に伴い息を吹き返しました。

Fc_sansFC-SANは、サーバ機器間の通信が発生する通常のネットワークとは別に、ファイバチャネル(FC)プロトコル対応製品のみで接続されるネットワークによってサーバとストレージ間の通信行う機能を指し、「ストレージのためのネットワーク」と言うことで、Strorage Area Network(SAN)、それを構成するネットワークをファイバチャネル(FC)で組むことからFC-SANと呼ばれるものです。

No_sans大規模システムにおいては、大量のディスクアクセス通信が通常ネットワーク帯域を圧迫してしまうため、サーバ間における通信を邪魔しないよう、ストレージに対するアクセスに関して、専用のネットワークセグメントを構成し、そちらをディスクアクセス通信専用にしてしまおうという発想です(´∀`)

また、FC-SANは、超高速の通信ができるため、大量のディスクアクセスを伴う大規模システムにおいて、ディスクアクセス部分で発生しやすい性能ボトルネックを解消するにはもってこいの製品ですが、FC-SANは、その名の通りファイバチャネル回線を利用したストレージエリアネットワークであり、それを構成するHBA(Host Bas Adapter)やFC対応ネットワーク機器は非常に高額となってしまいます。・゚・(ノ∀`)・゚・。

Ip_sansそこで、IP-SAN、iSCSIの登場です。現時点では速度はFC-SANの後塵を拝すものの、ギガビットイーサとチーミングまたはリングアグリケーション等の普及により、既存のネットワーク機器で安価にストレージ周りの通信インフラであるSANを構築することができるようになります。

そろそろ10Gbpsイーサネットもサーバ市場では当たり前に出始め、珍しいものではなくなってきており、10Gbpsネットワークがコンシューマ市場に広く普及してくれば、iSCSIは、コンシューマ市場での市民権を獲得する可能性もあるかもしれません(´∀`)

先ほども言った通りiSCSIは、ネットワークを介してSCSI機器を接続する規格ですから、ネットワーク上に存在するiSCSI対応機器を、あたかもローカルに接続されているかのように利用することができるようになります。

一つ勘違いしやすいのは、iSCSIはあくまでSCSI制御コマンドをネットワークを介して利用する規格であり、iSCSIを制御するOSとハードウェアの"ガワ"があれば、接続されている中身の機器はSCSI機器でなくても問題ありません。

TS-859 Proを含むQNAP製品やiSCSI対応のその他のNAS製品を見ても、中に入っているディスクはSATAのディスクが多いのですが、iSCSIの制御はTS-859 Pro自身とそれに搭載されているOSとソフトウェアが行っています。

iSCSIイニシエータはTS-859 Pro自体がiSCSI機器、iSCSIターゲットとして見えているので、TS-859 Pro内部に利用されているハードディスクが何であるか?と言うことについては関知しないので気にする必要がありません。

ただ、勿論iSCSI対応の機器ではないと、iSCSI接続はできませんので、あまり用途はないと思いますが、例えば、ふるーいSCSI接続の機器をiSCSI規格を利用して自分のPCで利用すると言ったことは当然ながらできません。・゚・(ノ∀`)・゚・。






posted by Amazon360

2010年4月10日 (土)

QNAP TS-859 Pro Turbo NASを買ってみた(その13)

引き続き、TS-859 ProでのiSCSIの構成です

Ts859pro43s次の画面はiSCSI LUNを作成する、との表題。iSCSI LUNでは、LUN名の設定のほか、LUNに割り当てるディスク容量と、TS-859 Pro内で構成したどのRAIDボリュームを利用するかの設定を行います。

「LUN配分」の「シン・プロビジョニング」と「即時配分」の違いは、実際に利用されたディスク領域の増分に合わせてジリジリとディスク割り当て容量を増やすか、決まったディスク容量をLUN作成時点で全て確保して配分してしまうかの違いになります。

「LUN名」は、単に番号を振るのもイイし、利用用途等で名前を設定するのも良いでしょうが、とにかく後で識別できるよう・・・程度で設定するので良いかと思います。ここでは、testと設定しておきます。

Ts859pro44s「LUN場所」は、このLUNに割り当てるディスク領域をどのRAIDボリュームから捻出するかと言う設定になります。既にTS-859 Pro内で構成済みのRAIDボリュームの一覧をプルダウンメニューから選択して、LUNに割り当てます。今回は、ディスク5と6で構成されたRAID 1のボリュームを選択しています。

Ts859pro45s最後に「容量」を決定します。シン・プロビジョニングの設定の場合、先ほど説明した通り"利用された領域の増分に合わせてジリジリとディスク割り当て容量を増やす"と言う割り当て方法ですが、LUNに割り当てたRAIDボリュームの容量を超えることはできません。即時配分の場合は、ココで設定した容量が即座に全て確保され利用できるようになります。今回は、即時配分で100GBを設定しておきます。

Ts859pro46sTs859pro47s継続ボタンをクリックすると、今までに設定したサマリが表示され最終確認ができます。何かしら設定内容に問題があった場合等は、「戻る」ボタンをクリックしてiSCSI構成ウィザードをやりなおします。問題がなければ「継続」ボタンをクリックすることで、iSCSIターゲットとそのターゲットに所属するLUNの設定が完了し、iSCSIターゲットとLUNの作成が開始されます。

Ts859pro48sTs859pro49sと言う訳で、iSCSIターゲットとLUNの作成が完了しました。今回作成したiSCSIターゲットは青い枠線の中にあるものがそうです。その上にあるものは、今回のiSCSIターゲット作成以前に構成したiSCSIターゲットです。

これでいよいよiSCSIを利用できる環境のうちの半分ができあがりました。残りの半分はクライアントPC側、つまりiSCSIターゲットに接続を行うiSCSIイニシエータのセットアップが必要になります。

Windows XPにおいてiSCSIを利用する場合は、Microsoft iSCSI Software Initiatorをダウンロードする必要があります。このMicrosoft iSCSI Software Initiatorは、現在、最新が2.08だと思われ、日本語版がありませんので英語版で我慢しましょう。・゚・(ノ∀`)・゚・なお、Windows Vista、Windows 7、Windows Server 2003やWindows Server 2008等では、標準搭載されています。

【ディスク管理>仮想ディスク 】
Ts859pro50sディスク管理の最後、仮想ディスクです。仮想ディスクと言われると、最近Windows 7 UltimateやEnterpriseで搭載されたVirtual PCを利用したXPモードやWindows Server 2008 R2に搭載されているHyper-V、VMware ESXi等を思い浮かべますが、TS-859 Proのディスク管理にある仮想ディスクはなんぞやと見てみると、これは単なるiSCSIイニシエータのようです。

Ts859pro51sつまり、TS-859 ProのiSCSIイニシエータで、ネットワーク内にある他の別のiSCSIターゲットに接続して、あたかもTS-859 Pro内のディスクに見せかける、と言ったことができる訳で、このTS-859 Proの仮想ディスクを利用することで、TS-859 Pro容量を使い切った場合でも、他のiSCSI対応NAS製品のiSCSIターゲットにTS-859 ProのiSCSIイニシエータから接続を行い容量を拡張することができるーと言った機能になります。

TS-859 Proが満杯になるって相当だと思いますが、適当に暇を見てCentOSやFedoraあたりでiSCSIターゲットを構成し、TS-859 Proのこの仮想ディスクから接続してみよかなー・・・

そんな訳で、これにてTS-859 Proのディスク管理の項目は終了です。






posted by Amazon360

2010年4月 7日 (水)

QNAP TS-859 Pro Turbo NASを買ってみた(その12)

【ディスク管理>iSCSI>ターゲット設定】の続きです。

TS-859 ProのiSCSIターゲット及びLUNの作成は、RAID構成と同様に簡単なウィザードで構成することができます。ウィザードでは、iSCSIターゲットとLUNを一気に作成する、iSCSIターゲットのみを作成する、LUNのみを作成する、の3つの中から操作を選択します。

なんで構成方法が3種類もあるかと言うと、LUNは必ずいずれかのiSCSIターゲット内に所属しなくてはいけませんが、iSCSIターゲット内に新たにLUNを増やすと言った場合や、新たにiSCSIターゲットを作成し、そこに別のiSCSIターゲットに所属していた既存のLUNのみを移動すると言ったことが可能なため、このようなウィザードになっていると思われます。LUNは、iSCSIターゲットに接続するiSCSIイニシエータから見えるディスクドライブの単位になります。

Ts859pro38sTs859pro39s今回は、初めてと言うことと面倒なので、iSCSIターゲットとLUNを一気に構成してしまおうと言うことで、「マップされたLUNを付属したiSCSIターゲット」を選択して「継続」ボタンをクリックします。iSCSIクイック構成ウィザードと表題のついた画面が登場し、ウィザードで実施される作業の内容が表示されますが、この画面では特に何かを設定するという訳ではないので、そのまま「継続」ボタンをクリックします。

Ts859pro40s「新規iSCSIターゲットの作成」の表題のついた画面では、iSCSIターゲット名とターゲットエイリアスの値を設定します。入力欄に何かしらの値を設定すると、デフォルトで決まっているTS-859 ProのiSCSIターゲットIQN(iSCSI Qualified Name)に入力した値が合成され、これが正式なiSCSIターゲットIQN名となります。

Ts859pro41sTS-859 ProのデフォルトiSCSIターゲットIQN名は、iqn.2004-04.com.qnap:ts-859:iscsi..bd9ed7となっていますが、入力欄に"test1"と入力することでiqn.2004-04.com.qnap:ts-859:iscsi.test1.bd9ed7となります。WANを介して利用することも考えられているiSCSIでは、IQN名は全世界で一意である必要があり、長ったらしい名前になっています。

今回は、ターゲット名にtest1、ターゲットエイリアスにもtest1を入力、「CRC/チェックサム(オプション)」のデータダイジェストとヘッダダイジェスト部分はチェックを入れずそのまま「継続」ボタンをおして次に進みます。なおTS-859 Pro側で「CRC/チェックサム(オプション)」を利用する場合は、iSCSIイニシエータ側での接続設定時に同様の設定が必要になります。

Ts859pro42s次に出てくるのがCHAP認証設定です。iSCSIターゲットに接続する際のセキュリティを確保するためCHAP認証を利用することができます。iSCSIターゲット構成しているサーバのホスト名やIPアドレスが分かってしまった場合、iSCSIイニシエータを起動すると誰でも簡単にiSCSIターゲットに接続してしまうことが可能なため、一定のセキュリティを確保したい場合にはCHAP認証を利用するようにします。

自宅内でのiSCSIの利用等では気にする必要はないと思いますが、念のためCHAP認証を利用するようにします。CHAP認証は、iSCSIイニシエータからiSCSIターゲットに対し接続があった場合に認証が必要となりますが、Mutual CHAP認証では、iSCSIイニシエータからiSCSIターゲットに対し接続する場合に、iSCSIターゲット側からもiSCSIイニシエータ側で設定された認証を行う、相互認証を行わない限り接続ができないと言った、さらに強固な認証方式です。

今回は、ユーザ名にiscsiuser、パスワードはごにょごにょ(12文字以上~16文字以下の英字)と設定して「継続」ボタンをクリックして次ぎに進みます。わざわざ強調したのは訳があってです・・・理由については、いずれネタにします。・゚・(ノ∀`)・゚・。

と言うことで、iSCSI構成ウィザードはまだ途中ですが、ここまででiSCSIターゲットの設定は終わりで、次からiSCSI LUNの構成になりますが、長くなってきたので、続きは次回に~。






posted by Amazon360

2010年4月 6日 (火)

QNAP TS-859 Pro Turbo NASを買ってみた(その11)

【ディスク管理>ハードディスクSMART】
Ts859pro33sハードディスクSMARTです。こちらは、ハードディスクのハードウェア自体のステータス監視とファームウェアの情報等を参照することができます。その他にも、SMARTで取得できるハードディスクの詳細な情報から、予防保守の観点でハードディスクの寿命や故障検知前の保全作業等を行うために参考となる情報を参照することができる画面になります。

ディスク管理>ハードディスクSMARTの中には、5つのタブがありますが「概要」は、SMARTに準拠した情報から、ハードディスクのステータスを表示してくれる画面です。「ハードディスク情報」は、ハードディスクの型番、シリアル、ファームウェアバージョン、ディスク容量等のスペックを表示してくれます。

Ts859pro34s「SMART情報」は、SMARTにおけるチェック項目が詳細に表示されています。SMARTにおける各種チェック項目に対して、しきい値を設定し、主にそのしきい値の何れかを超えている、または下回っていると、ハードディスクの状態になんらかの異常があるとして、概略やディスク管理>ボリューム管理等の画面のステータスに警告がでます。

これらディスク管理>ハードディスクSMARTの画面全般は、主にリードオンリーで特にここから何かを設定すると言ったことは特にありませんが、SMART自体のテスト実行計画を設定することができます。

【ディスク管理>ディスクボリューム暗号化の管理】
こちらには、RAID構成をしたボリュームや、単独利用するディスクについて暗号化を行う場合に利用します。ディスクボリュームの暗号化の有無は、RAID構成ウィザード内で決定します。

【ディスク管理>iSCSI】
iSCSIについての管理を行う画面です。iSCSIの中には3つのタブがあり、それぞれ「ポータル」、「ターゲット設定」、「拡張ACL」となっています。iSCSIの設定では、特に「ターゲット設定」、「拡張ACL」の画面をよく利用することになるでしょう。

【ディスク管理>iSCSI>ポータル設定】
この画面では、iSCSIを利用の有無と、iSCSIで利用するポートの設定、iSCSIターゲットの構成情報を他のサーバに対して通知・管理やiSCSIデバイスの検出を行うiSNS(Internet Storage Name Service)のアドレスを設定します。

Ts859pro36sポートについては、iSCSIのデフォルトプロトコルが3260となっているで特に変更する必要はないと思います。iSNSサーバはTS-859 Pro自身がなることができるので、iSNSサーバにはTS-859 ProのIPアドレスを入力します。既にiSCSI環境がありiSNSサーバがあれば、そちらのIPアドレスを入力するか、TS-859 ProのiSNSサーバに管理を一元化するか、いずれかを決めておけば良いかと思います。

【ディスク管理>iSCSI>ターゲット設定】
iSCSIの構成を行うための画面で、iSCSIを構成する際に一番お世話になる画面だと思われます。iSCSIはターゲットとターゲットの下にぶら下がるLUN(Logical Unit Number)から構成されます。

Ts859pro37siSCSIターゲットは、IP-SAN内における識別名のようなもので、LUNはその識別名で認識されるターゲットにぶら下がる個々のディスク領域になります・・・凄い例えをするならば、TS-859 Proがとある会社名であり、その会社のある部門名がiSCSIターゲット、んで、その部門のある部署名がLUNとでも言えば理解しやすいかもしれません・・・かなり強引ですが・・・(;´∀`)

iSCSIターゲットがサーバ機能を果たし、iSCSIイニシエータがクライアント機能を果たすことでiSCSI接続を実現することから、まずはTS-859 ProでiSCSIターゲットを作成しないことには、PCからのiSCSI接続は実現できません。

そんな訳で、iSCSIターゲットとLUNを構成していく訳ですが、長くなってきたので続きは次回に~。






posted by Amazon360

Advertisement


  • カスタム検索

Analyze

  • blogram投票ボタン