Arch_Amazon-FSx-for-NetApp-ONTAP

Amazon FSx for NetApp ONTAPをWindowsワークグループ環境で使うには

こんにちは、ディーネットの山田です。

Amazon FSx for NetApp ONTAPを提案する機会があり、Windowsワークグループ環境で使えるのか検証してみましたので、ブログにしてみました。
(AWSさんの公式には、Windows向けはADが必須と謳われておりますので、ワークグループ環境での利用は自己責任でお願いします)

はじめに

Amazon FSx for NetApp ONTAPとは

フルマネージド型のファイルストレージサービスである、Amazon FSx上にNetApp社のONTAPストレージサービスを構築可能なサービスとなっております。

従来、Amazon FSx for NetApp ONTAPを利用する上では、Multi-AZの利用が必須で、TransitGatewayなど他のサービスの利用も必須でしたが、
2022年4月ごろにSingle-AZ構成でも利用できるようにアップデートがございましたので、手軽に利用しやすくなったと思います。

なお、2022年7月現在、日本では東京リージョンのみサポートされており大阪リージョンでは利用できませんのでご注意ください。

どういったプロトコルに対応しているの?

  • NFS
  • SMB
  • iSCSI
    特に、SMBが対応しているので、Windows環境やMac環境などのクライアント端末からであっても利用できる形となります。

準備

準備した構成例

今回の検証にあたって、以下の構成図のような構成を準備いたしました。

FSx for NetApp ONTAPのファイルシステムを作成

AWSマネジメントコンソールのウィザードに従って画面を進めます。
(本当は、ちゃんと設計した方がよいですが今回は検証なので、ささっと先を急ぎます)






(作成し始めると、体感で25分ぐらい永遠と待ちなので、休憩にでも行きましょう)

ファイルシステムが出来上がった画面

続いてWindows向けで利用できるSVMを作成

初期で作成される、SVMは試したところUNIX(Linux)向けに最適化されているようで、Windowsクライアントとの相性がよくないので、
面倒ではありますが、手動で再度作成します。


SVMの作成ができると、共有フォルダに割り当てるボリュームを作成


SVMとボリュームの作成がそれぞれ行えたら管理マネージャへSSHログイン

ログイン情報は、ウィザードで作成時に設定したfsxadminのパスワードを使って、ONTAP CLIにアクセスします。

ONTAP CLIへのアクセス方法ですが、FSx for NetApp ONTAPの 管理エンドポイント - IPアドレス に対してSSH接続することでアクセスできます。

FSx for NetApp ONTAPの画面へ移動します

FsxIdXXXXXXXXXXXXXXXXX::> vserver show
                               Admin      Operational Root
Vserver     Type    Subtype    State      State       Volume     Aggregate
----------- ------- ---------- ---------- ----------- ---------- ----------
svm_default data    default    running    running     svm_       aggr1
                                                      default_
                                                      root
svm_windows data    default    running    running     svm_       aggr1
                                                      windows_
                                                      root
2 entries were displayed.

SVM上にCIFSサーバを構築

WorkGroupの指定を忘れないようにしましょう

FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs create -vserver svm_windows -cifs-server DEMOFILESV01 -workgroup WORKGROUP

Notice: SMB1 protocol version is obsolete and considered insecure. Therefore it is
deprecated and disabled on this CIFS server. Support for SMB1 might be removed in a future
release. If required, use the (privilege: advanced) "vserver cifs options modify -vserver
svm_windows -smb1-enabled true" to enable it.
FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs show
            Server          Status    Domain/Workgroup Authentication
Vserver     Name            Admin     Name             Style
----------- --------------- --------- ---------------- --------------
svm_windows DEMOFILESV01    up        WORKGROUP        workgroup

CIFSサーバから共有フォルダを設定

FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs share show
Vserver        Share         Path              Properties Comment  ACL
-------------- ------------- ----------------- ---------- -------- -----------
svm_windows    c$            /                 oplocks    -        BUILTIN\Administrators / Full Control
                                               browsable
                                               changenotify
                                               show-previous-versions
svm_windows    ipc$          /                 browsable  -        -
2 entries were displayed.
FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs share create -vserver svm_windows -share-name DOCSHARE -path /windows_share
FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs share show
Vserver        Share         Path              Properties Comment  ACL
-------------- ------------- ----------------- ---------- -------- -----------
svm_windows    c$            /                 oplocks    -        BUILTIN\Administrators / Full Control
                                               browsable
                                               changenotify
                                               show-previous-versions
svm_windows    DOCSHARE      /windows_share    oplocks    -        Everyone / Full Control
                                               browsable
                                               changenotify
                                               show-previous-versions
svm_windows    ipc$          /                 browsable  -        -
3 entries were displayed.

(必要に応じて) ユーザーグループを作成

FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs users-and-groups local-group create -vserver svm_windows -group-name DenetMember
FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs users-and-groups local-group show
Vserver        Group Name                       Description
-------------- -------------------------------- ----------------------------
svm_windows    BUILTIN\Administrators           Built-in Administrators group
svm_windows    BUILTIN\Backup Operators         Backup Operators group
svm_windows    BUILTIN\Guests                   Built-in Guests Group
svm_windows    BUILTIN\Power Users              Restricted administrative privileges
svm_windows    BUILTIN\Users                    All users
svm_windows    DEMOFILESV01\DenetMember         -
6 entries were displayed.

(必要に応じて) ログイン用のユーザーを作成

FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs users-and-groups local-user create -vserver svm_windows -user-name denet

Enter the password:
Confirm the password:
FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs users-and-groups local-user show
Vserver      User Name                   Full Name            Description
------------ --------------------------- -------------------- -------------
svm_windows  DEMOFILESV01\Administrator                       Built-in administrator account
svm_windows  DEMOFILESV01\denet          -                    -
2 entries were displayed.
FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs users-and-groups local-group add-members -vserver svm_windows -group-name DenetMember -member-names denet
FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs users-and-groups local-group show-members
Vserver        Group Name                   Members
-------------- ---------------------------- ------------------------
svm_windows    BUILTIN\Administrators       DEMOFILESV01\Administrator
               DEMOFILESV01\DenetMember     DEMOFILESV01\denet
2 entries were displayed.

(必要に応じて) 共有フォルダに対してACLを設定

FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs share access-control create -vserver svm_windows -share DOCSHARE -user-or-group DenetMember -user-group-type windows -permission Full_Control
FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs share access-control delete -vserver svm_windows -share DOCSHARE -user-or-group Everyone
FsxIdXXXXXXXXXXXXXXXXX::> vserver cifs share access-control show
               Share       User/Group                  User/Group  Access
Vserver        Name        Name                        Type        Permission
-------------- ----------- --------------------------- ----------- -----------
svm_windows    c$          BUILTIN\Administrators      windows     Full_Control
svm_windows    DOCSHARE    DenetMember                 windows     Full_Control
2 entries were displayed.

Windowsクライアントから共有フォルダへアクセスしてファイル等が設置できるかテスト

SVMの 管理IPアドレス もしくは NFS IPアドレス に対してエクスプローラーからアクセスします。

SVMの画面へ移動します

\\{管理IPアドレス or NFS IPアドレス}

ユーザー認証が問われるので、先ほど作成したログイン用のユーザーを入力します。

詰まった点

私だけが詰まったのかもしれませんが、デフォルトで作成されるSVMにcifsサーバを構築して、Windowsファイル共有を行って適切なACL(権限)を与えても全く操作できませんでした。
Windows向けの場合、種類をNTFSにすることでWindows向けであっても正しくファイル共有することができました。
(ONTAPのCLI側で何か設定変更することで、対応可能かもしれませんが、私は手っ取り早くNTFSで構築することにしました)

参考

ワークグループ内に SMBサーバをセットアップする ONTAP 9

返信を残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA