Microsoft SQL Server を使用したアプリケーションのスケーリング モデル

一般に、スケーリングとはアプリケーションをより大規模かつ高性能なものへと拡張していくプロセスのことであり、スケーラビリティとは、アプリケーションが成長や規模拡大を滞りなく処理できる、その本来的な能力を指します。PAM360等の特権アクセスセキュリティソリューションでは、複雑さが増した状態でも、アプリケーションがノードごとの平均サービスレベルに大きな影響を与えることなく、全体的な最大パフォーマンスを提供できるように、可用性とスケーラビリティを高くすることが必須です。

Microsoft SQLサーバーを使って設計されたPAM360のアプリケーションスケーリングモデルは、PAM360に保存された特権パスワードとパスワードへのアクセスが中断されることなく、スケーラビリティとパフォーマンスが強化することを目的としています。このモデルは、1つのメインのPAM360ノードと複数のサブノードで構成され、それらはすべて単一のMS-SQLデータベースクラスターに接続されます。

  1. どのように機能するか?
  2. メインノードとサブノードの設定手順
  3. サブノードをメインノードに変更する手順
  4. ノードの名前を変更する手順
  5. サブノードを有効化/無効化する手順
  6. サブノードの削除と復元の手順
  7. ノード監査証跡

1.どのように機能するか?

PAM360のメインノードとそのすべてのサブノードは、同じMS-SQLクラスターを指している必要がありますが、個別に接続されている必要はありません。ただし、メインノード、つまりスケジュールされた操作を実行するマシンは、以下のいずれかの条件を満たす必要があります。

  • PAM360でエージェントレスパスワード管理機能が有効になっているメインノードとターゲットエンドポイントは、同じサブネット内にある必要があります。
  • メインノードとターゲットエンドポイントが異なるネットワークに存在する場合、それらは相互に通信できる必要があります。つまり、ファイアウォールによってブロックされたり、非武装地帯などの接続範囲外に存在したりしてはなりません。

application-scaling1

メモ:

  • セカンダリノードのいずれかをメインノードとして割り当てることができます。ただし、スケジュール設定された操作が妨害無しに実行されるように他のマシンと適切に接続されることが条件です。
  • 現在のモデルでは、最大4台のマシンをサブノードとして割り当てることができます。

2.メインノードとサブノードの設定手順

メモ:

アプリケーション スケーリングの設定を進める前に、環境にApplication Gatewayが展開されている場合は、サブノードとして展開予定のサーバーに、Visual Studio 2015 以降用の Microsoft Visual C++ 再頒布可能パッケージがインストールされていることを確認してください。

同じクラスターを指すサブノードを設定するには、以下の手順に従ってください。

  1. PAM360メインノードにする必要があるマシンにインストールします。インストールプロセス中に、インストールウィザードでサーバーをHigh Availability Primary Serverとして選択してください。
  2. 以下の手順に従って MS SQL クラスターに SSL 証明書を設定し、その証明書を PAM360 にインポートした後、アプリケーションの接続先を SQL リスナーの IP アドレスまたはホスト名に指定してください。これで、メインノードとして作動するPAM360アプリケーションは、Microsoft SQLクラスターを使って作動します。
  3. サブノードとして使用したいセカンダリアプリケーションサーバーにPAM360をインストールしてください。インストールプロセス中に、インストールウィザードでサーバーをHigh Availability Primary Serverとして選択してください。インストールが完了したら、PAM360は、デフォルトのPostgreSQLデータベースで起動します。初期起動後、PAM360 Serviceを停止します。
  4. MS SQLクラスター証明書を、すべてのサブノードにある <PAM360-Installation-Directory>\bin フォルダにコピー&ペーストしてください。コマンドプロンプトを開き、次のコマンドを実行して、MS SQLクラスター証明書をすべてのサブノードにインポートします。
    importCert.bat Your_cluster_cert.cer
  5. メインノードからpam360_key.keyファイルをコピーし、サブノード内の任意のディレクトリに貼り付けてください。次に、すべてのサブノードの <PAM360-Installation-Directory>\conf\manage_key.conf ファイル内の pam360_key.key ファイルの完全なパスを更新します。キーがリモートディレクトリに保存されている場合は、manage_key.confファイルにリモート場所のフルパスを入れます。
  6. メインノードの <PAM360-Installation-Directory>\conf フォルダ内にある masterkey.key ファイルをコピーし、サブノードの <PAM360-Installation-Directory>\conf フォルダ内に貼り付けます。
  7. すべてのサブノードでサービスコンソール(services.msc)を開き、PAM360サービスのサービスアカウントを更新します。このサービスアカウントが、MS SQLクラスターに接続し、pam360_key.keyファイルを読み取るために必要なすべての権限を持っていることを確認してください。
  8. すべてのサブノードで管理者としてコマンドプロンプトを開き、<PAM360-Installation-Directory>\bin ディレクトリに移動し、ChangeDB.bat コマンドを実行します。DB変更構成ウィザードで、バックエンドとしてSQL Serverを選択し、MS SQL Clusterホスト名をSERVER:portの形式で指定します。例. CLUSTER01:5432。ポート番号がこの形式で指定されている場合、インスタンス名フィールドは空にすることができます。クラスターがダイナミックポートを使用している場合、正しいホスト名とインスタンス名を個別に入力します。メインノードが作動するのに使う正しいSQLデータベース名を入力し、Windowsを認証オプションとして選択します。このオプションが作動するには、コマンドプロンプトがSQLデータベースにアクセスするアカウントで実行されている必要がありますので、注意してください。[Test]をクリックし、正常に完了したら、[Save]をクリックして、変更を保存します。
  9. 次に、PAM360 Serviceをすべてのサブノードで起動します。これまでの手順の結果、すべてのサブノードはバックエンドデータベースとして同じMS SQL Clusterを使用するようになります。
  10. サブノードのデフォルトの URL は、https://subnode_servername:8282/ のようになります。すべてのサブノードにライセンスファイルを適用するには、すべてのサブノードのURLをWebブラウザで開き、ログインしてください。右端上にあるプロファイルアイコンをクリックし、Licenseオプションをクリックします。ここで、ライセンスのXMLファイルを追加してアップグレードします。
  11. [Admin] >> [Server Settings] >> [PAM360 Server] に移動し、正しいパスワードを使用してSSL証明書のキーストアを更新してください。必要な場合、ポートを8282から443に変更し、設定を保存します。
  12. PAM360 Serviceをすべてのサブノードで再起動します。これで、すべてのサブノードは正しいSSL証明書を使用して起動し、同じMS SQL Clusterバックエンドを使用するようになります。

2.1 構成したノードをPAM360で表示する手順

メインノードとサブノードの設定が完了したら、PAM360インターフェースから管理 >> Business Continuity >> アプリケーションのスケーリングに移動して、それらを表示します。ここでは、トグルボタンを使用してアプリケーションのスケーリングを有効または無効にできます。

application-scaling2

3.サブノードをメインノードに変更する手順

下の手順にしたがって、セカンダリノードをメインノードに変更します。この変更は、どのサブノードからでもいつでも実行できます。

  1. MS-SQLデータベースは稼働させたままにして、メインノードを含むすべてのアプリケーションサーバーを停止してください。
  2. <PAM360-Installation-Directory>\bin フォルダに移動し、ご使用のオペレーティングシステムに応じて makePrimary.bat または makePrimary.sh スクリプトを実行してください。
  3. 現在のメインノードと利用可能なサーバーのリストが表示されます。ドロップダウンメニューから任意のサーバーを選択し、Saveをクリックしてください。
    application-scaling3
  4. 以前停止したすべてのアプリケーションサーバーを再起動します。これで、選択されたサーバーがメインノードとして割り当てられます。

Microsoft SQL クラスターの設定方法の詳細については、こちらをクリックしてください。

4.ノードの名前を変更する手順

  1. [管理] >> [Business Continuity] >> [アプリケーションのスケーリング] へ移動します。
  2. アプリケーションスケーリングダッシュボードから、目的のノードの横にあるeditアイコンをクリックします。
  3. 表示されるポップアップ画面で名前を入力し、Confirmをクリックしてください。ノードの名前変更が正常に完了しました。

    メモ:

    サブノードの有効化/無効化、削除、復元は、管理者およびアプリケーションスケーリング権限を持つカスタムロールのユーザーのみが、メインノードからのみ実行できます。

5.サブノードを有効化または無効化する手順

  1. [管理] >> [Business Continuity] >> [アプリケーションのスケーリング] へ移動します。
  2. アプリケーションスケーリングダッシュボードから、該当するサブノードの横にあるトグルを有効または無効にすることで、サブノードを有効または無効にできます。

6.サブノードを削除または復元する手順

[管理] >> [Business Continuity] >> [アプリケーションのスケーリング] へ移動します。

サブノードを削除するには、

  1. まず、トグルを使ってサブノードを無効にします。
  2. サブノードの右上隅にある[Delete]アイコンをクリックします。
  3. 表示されたポップアップで、Confirmをクリックしてください。サブノードの削除が正常に完了しました。

    メモ:

    サブノードを削除しても、ダッシュボードからノードが非表示になるだけで、データベースからエントリが削除されるわけではありません。物理サーバーとサーバー別構成を削除し、PAM360全体からサーバーを削除します。

サブノードを復元するには、

  1. UIからRestore Deleted Nodesをクリックします。
  2. 次に、目的のサブノードを選択し、Restoreをクリックします。選択したサブノードの復元が正常に完了しました。

7.ノード監査証跡

PAM360には、デフォルトでは、リソース、ユーザー、およびタスクベース監査に個別セクションがあります。さらに、アプリケーションスケーリングが有効になっている場合、本製品はメインノードと各サブノードのノードベースの監査を別々のコラムとして表示し、完全な監査証跡をリソース監査とユーザー監査の下に表示します。監査についてさらに詳しく知りたい場合は、こちらをクリックしてください。

application-scaling4