未解決
この投稿は5年以上前のものです
1 Rookie
•
331 メッセージ
0
2177
DataDomainの暗号化機能(Encryption)での暗号化キーの変更手順について
DataDomainの暗号化機能(Encryption)での暗号化キーの変更手順について幾つか質問させて下さい。
(質問1)
DDの暗号化キーの変更手順ですが、キーのModify等内容で、下記のKBを拝見したところ、
新しいキーを作成し、以下の流れで古いキーを削除する手順が載っていたのですが、暗号化キーの
変更手順は、CLI/GUI各々下記の手順で宜しいでしょうか?
▼参考KB
EMC Data Domain Encryption - Frequently Asked Questions(000303747)
https://emcservice.force.com/KB_How_To_Printable?id=kA5j00000008OZqCAM
▼CLIの場合
1.新しいキーの作成
# filesys encryption embedded-key-manager keys create
セキュリティユーザーのユーザ名とパスワードを入力
2.新しいキーが作成されたことを確認
新しいキーが「Pending-Activated」で表示され、古いキーが「Activated-RW」と表示される
# filesys encryption keys show
Active Tier:
Key Key State Size
Id MUID post-comp
--- ---- -------------------- ----------
0.1 701 Activated-RW ** 144.00 MiB
0.2 e21 Pending-Activated ** 0 ★
--- ---- -------------------- ----------
3.ファイルシステムのリスタート
# filesys restart
4.新たしいキーがActivateされることを確認
新しいキーが「Activated-RW」と表示され、古いキーが「Deactivated」と表示される
# filesys encryption keys show
Active Tier:
Key Key State Size
Id MUID post-comp
--- ---- ------------ ----------
0.1 701 Deactivated 144.00 MiB
0.2 e21 Activated-RW 0 ★
--- ---- ------------ ----------
5. 古いキーのデストロイ
# filesys encryption keys destroy 0.1
セキュリティユーザーのユーザ名とパスワードを入力
6.古いキーの状態確認
新しいキーが「Activated-RW」と表示され、古いキーが「Marked-For-Destroyed」と表示される
# filesys encryption keys show
Active Tier:
Key Key State Size
Id MUID post-comp
--- ---- -------------------- ----------
0.1 701 Marked-For-Destroyed 144.00 MiB ★
0.2 e21 Activated-RW 0
--- ---- -------------------- ----------
7.クリーニングの実施
# filesys clean start
8.クリーニング後の状態
新しいキーが「Activated-RW」と表示され、古いキーが「Destroyed」と表示される
# filesys encryption keys show
Active Tier:
Key State Size
Id MUID post-comp
--- ---- ------------ ---------
0.1 701 Destroyed 0
0.2 e21 Activated-RW 63.00 MiB
--- ---- ------------ ---------
9.古いキーの削除
# filesys encryption keys delete 0.1
セキュリティユーザーのユーザ名とパスワードを入力
10.古いキーの削除後の状態
新しいキーのみがが「Activated-RW」と表示され、古いキーが表示から消える
# filesys encryption keys show
Active Tier:
Key Key State Size
Id MUID post-comp
--- ---- ------------ ----------
0.2 e21 Activated-RW 130.50 MiB <--★
--- ---- ------------ ----------
▼GUIの場合
1.[DATA MANAGEMENT]>[File System]>[Encryption Keys] の [Create]をクリックする。
2. セキュリティユーザーのユーザ名とパスワードを入力する。
[Restart the filesystem now] のチェックボックスにチェックを入れて [Create] をクリックします。
3.新しい暗号化キーの作成処理が [Completed] になったら、[Close] をクリックする。
4.システムの再起動が完了後、以前のキーのステータスは非アクティブ化(Deactivated)され、
新しいキーがアクティブであることを確認する。
5. [DATA MANAGEMENT] > [File System] > [Encryption] をクリックする。
6. [Encryption Keys] のリストで破棄するキーを選択し、[Destroy] をクリックする。
7.セキュリティユーザのユーザー名とパスワードを入力する。[Destroy] をクリックしてキーを破棄する。
8.破棄するキーの [Status] が [Marked-For-Destoryed] と表示されていることを確認する。
9. [DATA MANAGEMENT] > [File System] > Start Cleaning をクリックしてクリーニングを開始する
50% でOKする
10.クリーニング完了を確認する。
clean statusのステータスが、cleaning is runningから、Cleaning finished at yyyy/mm/dd..に変わる
破棄するキーの [Status] が [Destoryed] と表示されていることを確認する。
11.クリーニング完了後、古いキーをデリートする
[Encryption Keys] のリストで破棄するキーを選択し、[Delete] をクリックする。
セキュリティユーザーのユーザ名とパスワードを入力して、[Delete] をクリックする。
(質問2)
暗号化のアルゴリズムの変更の際には、「Apply to Existing data」というチェックボックスが
ありますが、暗号化キーの変更だけの場合は、このチェック項目は無く、不要という認識で宜しでしょうか?
(質問3)
古い暗号化キーをデストロイ/filesys restartで、新しい暗号化キーがActivateされ、次のクリーニングサイクルで
削除しようとする古いキーで複合化され、新しいキーで再暗号化されると思いますが、再暗号化を行うために
クリーニングにかかる時間の目安はありますでしょうか。(通常のクリーニングより時間を要すものと推察しています)
サンプル時間があれば教えてください。
<例>1TBのデータ 8時間など
<例>通常のクリーニングサイクルより、1.5倍位かかるなど
(質問4)
レプリケーション構成で両方のDDがEncryption機能がenableになっている場合の動作は以下の認識で
複合化用の鍵がソース側とディスティネーション側で交換される理解であっていますか?
・ソース側に書き込まれたデータは、ソース側の暗号化キーで暗号化されソース側に保存される
・ソース側からディスティネーション側にレプリケートされたるデータは、ソース側で一度複合化され
ディスティネーション側の暗号化キーで暗号化されレプリケートされる。
(この作業はソース側DDで行われる)
・ディスティネーション側でレプリケーション以外に直接書き込まれる場合は、ディスティネーション側
の暗号化キーを使用してディスティネーション側に書き込まれる。
(質問5)
上記レプリケーションの動作に関連しますが、ディスティネーション側のデータが再暗号化され、
レプリケーションが完了していることを確認する方法はありますか?
(質問6)
レプリケーションのオプションで「Enable Encryption Over Wire」という設定があり、管理ガイドには
「[Enable Encryption Over Wire]:DD Replicator は、ADH-AES256-SHA 暗号スイート
のを使用して安全なレプリケーション接続を確立する標準SSL(Secure SocketLayer)プロトコル
バージョン3 を使用した未了(in-flight)データの暗号化に対応しています。
暗号化を進めるには、接続の両側でこの機能を有効化する必要があります。」と説明がありますが、
ソース側、ディスティネーション側でEncryptionライセンスを持っていて、双方でEncryption機能がenable
である場合、このオプションは意味があるのでしょうか?
(質問7)
・暗号化キーを変更して、クリーニングを行い再暗号化する際の注意事項があればご教示下さい。
<例>
・負荷がかかるため、DDへの通常のバックアップなどの時間帯は避ける
・クリーニングのThrottle Percentageを50% から下げる等
以上、何卒、宜しくお願い致します。
Uehara Y.
Community Manager
Community Manager
•
4.9K メッセージ
0
2017年6月12日 20:00
shinさん
詳細な手順の記載をありがとうございます。頂戴した質問に以下の通り回答します。
(質問1)
EMC Data Domain Operating System バージョン 6.0 管理ガイドP.491 表179の「Destroyed」状態の定義に記載があるように、Data Domainは古いキーで暗号化されたデータを全て復元して新しいキーで再暗号化した後に、古いキーのステータスをMarked-For-DestroyからDestroyedに変更するという動きをします。
つまり、古いキーが必要な状態では「Destroyed」状態にはなりえません。従いまして、古いキーの状態をきちんと「Destroyed」の状態に持ってきている上記手順はどちらも正しいです。
(質問2)
はい。キーの変更だけでは基本的にExisiting Dataへの新たなキーの適用はないとご理解ください。
(注:今回例のように新たなキーの適用後に古いキーを削除する際には逆に全てのExisiting Dataへの適用がなされます)
(質問3)
一般に公開されているドキュメントにはケースバイケースとしか記載がないのですが、社内にあったFAQドキュメントにあくまでも「参考値」として既存データの暗号化に必要な時間サンプルが出ていました。
それによると1TBのデータを処理するのにDD9500では11分半、DD4200では25分強といったところです。
ご質問の例では新しいキーでの暗号化の前に古いキーでの復号化が入ってくるのでもう少し時間がかかるかとは思いますが、暗号化して書き込みを行うのにそこそこの時間がかかるようなので、その復号化の時間は誤差として扱ってもよさそうです。
(質問4)
はい。合っています。
【参考】
EMC Data Domain Operating System バージョン 6.0 管理ガイドP.372より
[MTree またはディレクトリ レプリケーション]の場合、ソースとデスティネーションの両方で暗号化の構成を同じにする必要はありません。その代わり、レプリケーション関連づけフェーズ中にソースとデスティネーションでデスティネーションの暗号化キーが安全に交換されます。データはデスティネーションの暗号化キーを使用してソースで再暗号化されてから、デスティネーションに送信されます。
(質問5)
Datadomainのレプリケーション時間についてにもあるように完了を把握する方法はありません。レプリケーションが正常に動作をしていることによって問題なく暗号化も動いていると判断してください。
(質問6)
Enable Encryption Over Wireはデータ転送中のパケットを取得されないためのSSLトンネリング技術なので意味があるといえばあるのですが、shinさんがおっしゃる通りデータ自体がきちんとEncryptionされていればどうせパケットを盗み取られてもデータ復元は出来ないので意味がないとも言えそうです・・・
まぁ、悪意のある人がパケットキャプチャをそもそも諦めるというようなメリットはあるのかと。
(質問7)
これも(質問3)の回答と同様にケースバイケースで特に明記した注意点などは見つかりません。
とはいえ完了までに数時間から場合によっては数日必要となることも考えられるので、運用状況に合わせた実行タイミングや負荷を考慮して頂いた方がよいということは言えそうです。
shin1
1 Rookie
1 Rookie
•
331 メッセージ
0
2017年6月12日 23:00
Ueharaさん
判りやすく、ご回答頂きありがとうございました。
ご参考にさせて頂きます。
shin1
1 Rookie
1 Rookie
•
331 メッセージ
0
2017年6月22日 20:00
ueharaさん
すみません。
(質問5)に絡むのですが、レプリケーションの同期完了の確認方法について確認させて下さい。
https://community.emc.com/thread/204749?start=0&tstart=0
などを参考にさせて頂き、レプリケーションの完了確認方法は、
「Pre-compressed bytes remaining: 0」によりレプリケーションの完了と認識しています。
下記の例は、Mtree repicationのペアを組んでいて、ほぼ同じ時刻(6/20 17時位)にソース、ディスティネーションで、
① 「replication show stats all」で、「Pre-compressed bytes remaining」を確認
② ASUPで、「Pre-compressed bytes remaining」を確認
③ GUI画面上での確認
した結果です。
ソース側はバックアップジョブで書き込んでおり、6/20 の13時ごろにジョブによる書き込みが完了しているようにのですが、それからレプリケーションの転送が始まっているように見え、ソース側では14~15時位まで Replicated (KB) Networkに、同期データが流れているようです。
▼ソース側
ソース側 replication show stats all (6/20 17位のログ)
----------------------------------------
:
Network bytes sent to destination: 3,085,781,555,400
Pre-compressed bytes written to source: 25,581,047,563,440
Pre-compressed bytes sent to destination: 25,451,195,637,616
Pre-compressed bytes remaining: 512 ★
Compression ratio: 8.2
Sync'ed-as-of time: Tue Jun 20 16:53
ASUP
Replication Detailed History
----------------------------
Directory/MTree Replication:
Date Time CTX Pre-Comp (KB) Pre-Comp (KB) Replicated (KB)
Written Remaining Network
---------- -------- --- ------------- ------------- ---------------
2017/06/20 12:15:58 1 0 0 21
2017/06/20 13:15:58 1 79,182,007 10,785,493 7,087,615
2017/06/20 14:15:58 1 0 0 2,231,602
2017/06/20 15:15:58 1 0 0 131
2017/06/20 16:15:58 1 0 0 2
---------- -------- --- ------------- ------------- ---------------
▼ディスティネーション側
ディスティネーション側 replication show stats all (6/20 17位のログ)
----------------------------------------
:
Network bytes received from source: 3,086,563,096,948
Pre-compressed bytes written to source: 25,581,047,563,440
Pre-compressed bytes sent to destination: 25,451,195,637,616
Pre-compressed bytes remaining: 0
Compression ratio: 8.2
Sync'ed-as-of time: Tue Jun 20 16:53
ASUP
Replication Detailed History
----------------------------
Directory/MTree Replication:
Date Time CTX Pre-Comp (KB) Pre-Comp (KB) Replicated (KB)
Written Remaining Network
---------- -------- --- ------------- ------------- ---------------
2017/06/20 12:26:45 1 0 0 18
2017/06/20 13:26:45 1 79,182,007 0 9,321,903
2017/06/20 14:26:45 1 0 0 295
2017/06/20 15:26:45 1 0 0 0
2017/06/20 16:26:45 1 0 0 0
---------- -------- --- ------------- ------------- ---------------
質問なのですが、
(1)同期完了のタイミングについて
ソース側のバックアップジョブ完了後、その一連のデータがレプリケーションされディスティネーション側に同期が完了するのを確認する場合、ASUPでは、14時中くらいに「Pre-compressed bytes remaining: 0」となっていますが、実際には同期は、15時中位まで転送が続いておりますので、どのタイミングで、「replication show stats all」又は、GUIのSUmmaryで確認するのが妥当でしょうか?
(2)同期完了の確認方法について、下記で宜しいものでしょうか?
・CLI では
ソースとディスティネーション両方で「replication show stats all」を
実行し、両方とも 「Pre-compressed bytes remaining: 0」になっていること。
・GUIでは
・ソースとディスティネーション両方で、Replication Summary の
「Pre-Comp-Remaining」の表示が、"0"になっていること。(ディスティネーション側はN/Aでも問題無いか?)
(3)6/20 17時位に確認した際の結果について
・上記のサンプルですと17時位のタイミングで、
CLIでは、
ソース側の Pre-compressed bytes remaining: 512
ディスティネーションの Pre-compressed bytes remaining: 0
この違いは、ソース側に書き込みはないので、管理データ的なもので"512"が存在し、それがディス手ネーション側に転送完了していないという理解であっていますでしょうか?
GUIでは
ソース側の「Pre-Comp-Remaining」の表示が、"0"
ディスティネーションの 「Pre-Comp-Remaining」の表示が "N/A"
ディスティネーション側で、N/Aはどのようなケースで表示されるものでしょうか?
色々、申し訳ありませんが、何卒、宜しくお願い致します。
Uehara Y.
Community Manager
Community Manager
•
4.9K メッセージ
0
2017年6月25日 20:00
shinさん
(1)と(2)に関しては同期完了の確認はSync'ed-as-of timeの更新で確認をしてください。少なくともその時間のデータまでは同期が完了していると言える値なので。
(Data Domain Mtree Replicationについても参考になると思います)
(3)に関しては、ソース側に何も書き込みがなかったにも関わらずPre-compressed bytes remainingに値が出てきているということは何か内部処理などでの書き込みがあったと考えられるのですが、具体的にそれが何か(DDでレプリケーションに影響する内部処理が何か)というところまではKBなどを調べてみても出てきませんでした。。
また、「Pre-Comp-Remaining」の表示がN/Aになっているものはラボマシンを見ても一つもない上にKB、アドミンガイド、オンラインヘルプを見てもどこにも見つからないので、英語フォーラムに質問を投稿しています([DD Replication] Pre-Comp Remaining: N/A ?)。
shin1
1 Rookie
1 Rookie
•
331 メッセージ
0
2017年6月27日 20:00
Ueharaさん
すみません。
もう一つ忘れていました、(1)と(2)の確認は、ソース、ディスティネーションの両方のDDで確認したほうが良いですよね。
shin1
1 Rookie
1 Rookie
•
331 メッセージ
0
2017年6月27日 20:00
Ueharaさん
ご回答ありがとうございました。
双方のDDで、「Sync'ed-as-of time」が、バックアップジョブが完了した時刻(ソース側)への書き込みが完了した時刻)以降になっていて、「Pre-compressed bytes remaining」がゼロになったら、そのバックアップデータがディスティネーションに反映された目安となる旨、ご説明しようと思います。
また、「Pre-compressed bytes remaining」完全にセロにならないケースは内部処理等の影響の可能性が考えられるが、内部処理に関しての詳細は公開情報がないということでご説明しようと思いますが、N/A表示について何か判りましたら、ご一報頂けると幸いです。
Uehara Y.
Community Manager
Community Manager
•
4.9K メッセージ
0
2017年6月28日 01:00
はい。英語サイトで回答を得ることが出来たらこちらのスレッドにも情報展開します!
Uehara Y.
Community Manager
Community Manager
•
4.9K メッセージ
0
2017年6月28日 01:00
はい。念のために両方のDDで確認することをおすすめします。
shin1
1 Rookie
1 Rookie
•
331 メッセージ
0
2017年6月30日 03:00
Ueharaさん
ありがとうございます。
宜しくお願い致します。
shin1
1 Rookie
1 Rookie
•
331 メッセージ
0
2017年7月18日 00:00
ueharaさん
英語サイトに確認をお願いしていた、「Pre-compressed bytes remaining」=N/A の表示の件ですが、英語サイトの問いにもまだ回答を得られていないようですが、更新は無いでしょうか?
-------------------
「Pre-compressed bytes remaining」完全にセロにならないケースは内部処理等の影響の可能性が考えられるが、内部処理に関しての詳細は公開情報がないということでご説明しようと思いますが、N/A表示について何か判りましたら、ご一報頂けると幸いです。
-----------------
実は、お客様より回答を急がれており、再度、ご確認頂くことは可能でしょうか?
また、ソース側で「Pre-compressed bytes remaining」完全にセロにならないケースですが、今回のように暗号化機能を使用している場合、暗号化キーの授受などにより、完全にゼロ表示にはならないというようなことは考えられませんでしょうか?
お客様の環境で、その後も確認していたところ、ソース側で「Pre-compressed bytes remaining」の表示が完全にゼロとなることは無いようです。
レプリケーション自体は問題無く実施出来ているようですので、暗号化機能を使用している場合、
ソース側:ゼロに近い値(完全にゼロにはならない)
ディスティネーション側(N/A の表示)
になっているのが、通常ではないかとも推察しております。
お手数をお掛けしますが、引き続きご確認宜しくお願い致します。
Uehara Y.
Community Manager
Community Manager
•
4.9K メッセージ
0
2017年7月19日 01:00
shinさん
社内のData Domainに詳しい人達に聞いてみたのですが、今回の事象は暗号化を行っているが故に発生している事象、別の言い方をすると暗号化を行っている場合には今回のような動作をするのが自然ということでは「ない」というのが結論です。
ソース側のPre-compressed bytes remainingの値に関しては、レプリケーションが終わっているのに0にならない事象が過去にもいくつか散見されていることが確認できました(例:KB487918-Data Domain replication pre-comp remaining on the source is greater than zero when mtree is in sync)。
また、デスティネーション側でCLIを利用して「Pre-compressed bytes remaining:」の値が0になっていることが確認出来た場合に、GUIで確認すると「Pre-Comp Remaining:」の値がN/Aとなっていたという事象を過去に見たことがあるという情報も得ることができました。そう考えるとGUIのN/Aは0と同値で考えることが出来そうです。
shin1
1 Rookie
1 Rookie
•
331 メッセージ
0
2017年7月19日 13:00
Ueharaさん
ご回答ありがとうございます。
ゼロにならない件、KBの情報もありがとうございます。
レポートされる出力の問題で、実際にはレプリケーションは完了しており、6.0.0.4 以降で改善されている旨、ご説明しようと思います。ということは、Sync-as-of-timeが、お客様のバックアップ完了時間以降であれば、ソース側で「Pre-compressed bytes remaining」が完全にゼロになっていなくても、ディスティネーション側でCLIでの確認結果がゼロであれば、同期完了と見なしてよいということですね。
また、デスティネーション側でCLIでは、ゼロになって、GUI上でN/Aと表示されるのもBugですか?
こちらも表示上の問題だけであれば、そのようにご説明しようと思います。
Uehara Y.
Community Manager
Community Manager
•
4.9K メッセージ
0
2017年7月19日 19:00
shinさん
そうですね。Sync-as-of-timeがソース側でのバックアップ終了後の時刻になっていれば、ソース側でPre-compressed bytes remaining:がゼロでなくともディスティネーション側にも問題なく必要なデータが保存されていると判断していただいて結構です。
また、GUI上のN/Aについても表示上の問題(GUIのPre-Comp Remaining:N/A=CLIのPre-compressed bytes remaining:0という認識でいてください)と判断していただけますようお願いします。
shin1
1 Rookie
1 Rookie
•
331 メッセージ
0
2017年7月20日 02:00
Ueharaさん
見解ありがとうございました。
頂きました内容で、お客様にも説明させて頂きます。