ActiveImage Protector Linux の保存先隔離機能について

ActiveImage Protector Linux(以降一部 AIP と略す)には、ランサムウェアの対策として保存先隔離機能が実装されており、3種類の設定方法があります。
この記事では、AlmaLinux 8.5 + AIP2022 linux バージョン 6.5.1.7719を使用し、これらの機能の動作仕様と注意点について簡単に説明します。基本的には各機能とその動作仕様はAIPのWindows版と同じです。

スケジュール作成時の保存先の指定画面で、保存先隔離オプションの有効化が可能です。
1)バックアップ後に 保存先のローカルHDDのマウントを解除する
2)バックアップ後に 保存先 のリムーバブル USB HDD を取り外す
3)バックアップ後に 指定したネットワークを無効にする

動作仕様の概要は、AIPがバックアップを実行する時間のみ、保存先の使用を有効にして、保存先へバックアップを実施します(“2)”を除く)。そのため、取り扱いには十分にご注意頂きご利用下さい。

1)バックアップ後に 保存先のローカルHDDのマウントを解除する
このオプションは、タスク実行後、保存先HDDのマウントポイントを自動で解除(削除)します。

例では、”mount /dev/sdb1 /data1” コマンドで保存先をマウントしています。
はじめのdfがタスク実行前、あとのdfがタスク実行後です。/dev/sdb1のマウント解除が確認出来ます。

スケジュールにより次のタスクが動作するとき、自動的に、そのタスクの保存先と同じマウントポイントを作成し、タスクを実行します。処理が終わったらマウントポイントを解除します。この処理の繰り返しによって、タスク動作時以外に、対象のマウントポイント内のデータ改竄を抑制します。

注意点:
・何らかの理由により、ディスクへの排他アクセスなどで、マウントポイントが解除されない場合は、mountコマンドでマウントおよびアンマウントが可能かどうかをご確認ください。

・この機能は、/etc/fstabに予め保存先のマウントポイントを設計していない場合も動作しますが、設計している場合はmountコマンドにより保存先へマウントし、アクセスは可能です。

・このオプションは、保存先USB HDDに対して無効です。

2)バックアップ後に 保存先 のリムーバブル USB HDD を取り外す
このオプションは、タスク実行後、保存先フォルダーが存在するハードディスクに対して、OS上から安全な取り外しを行います。

基本動作は1)と同じで、結果も1)の機能と同じように見えますが、このオプションは、Windows版の同オプションと同じく、OS上からUSBの接続自体を安全に解除しています。そのため、手動でUSBの再接続を行う必要があります。

以降は、タスク実行前にお客様側でUSBを再接続し、バックアップ、と言った運用方法になります。

注意点:
・自身でマウントポイントを作成している場合(例では /data2 )、USBを再接続時、OS側で自動マウントすることがあります。

具体的には、OSの仕様によって、USB保存先のマウントポイントが /run/media/root/ に変更されます。

AIPのパスは/data2に設定しており、この保存先を追従しないため、mountコマンドでマウントポイントを更新する必要があります。解決策の1つの手段として、/etc/fstabに、マウントポイントを記載しておき、タスク完了後、次のタスク開始するまでにUSBを接続します。この場合は自動マウントしないので、” mount -a “のコマンドでマウントポイントを更新し、適切な保存先へ参照可能になります。

/etc/fstabの例)
/dev/sdc1 /data2 defaults 0 0

*OSとUSBデバイスの接続状況により解決策が変わるかもしれません。例えばautofsが有効になっていた場合は無効にする必要があるなど。その場合、AIPを観点とした調査では無くなるため、環境に応じて対策して下さい。この機能はすべてを自動化することが出来ないため、トラブルシュートが起きた場合でも環境に応じた解決ができるかどうかを判断してご利用下さい。

・保存先にサブフォルダーが無い(今回の例のように保存先がローカルに存在する)場合、USBの再接続および適切なマウントポイントがOS上で認識されないまま次のタスクが動作すると、次のタスクからはローカルの/data2にバックアップ処理を実行してしまいます。結果、保存先に余裕があれば作成は完了し、保存先として想定していないマウントポイント(ここではルート)が逼迫する可能性があります。

解決策として、保存先のUSBにサブフォルダー /data2/backup のようにしてタスクを作成します。こうすることで、タスク開始までに保存先USBの接続を忘れた場合でも、/data2は存在しても/data2/backupは存在しないので、AIPは保存先のパスが見つからないエラー(-403 path not found)を発生し、処理を終了します。

尚、エラー発生後のタスクが増分タスクの場合、フル(と増分)が保存先に存在すれば、AIPの仕様に基づき、フルを仕切り直さず、増分を作成することが出来ます。

3)バックアップ後に 指定したネットワークを無効にする
このオプションは、タスク実行後、保存先として使用しているネットワークデバイスを無効にします。
下記のens192を使用例とします。

このデバイスを指定しタスクを作成します。

作成したタスク動作のバックアップ完了後、指定したネットワークが無効になります。

この状態から、スケジュールにより次のタスクが動作するとき、自動的にネットワークを有効にしてからタスク処理を行います。タスクが完了したら、デバイスを無効にします。

手動で接続する場合linuxのコマンド(nmcli)で可能です。

注意点:
・このオプションで指定したネットワークデバイスは、タスク実行中以外は常に無効となります。メインのネットワークとして使用している場合、お取り扱いには十分にご注意ください。

・保存先をcifsや nfsのローカルマウントポイントで指定した場合、タスク実行後に保存先が存在しない事によってdfコマンドが応答しないなどが発生します。AIPのGUIからネットワークを参照(smbmount)の場合は基本的に影響ありません。

*ActiveImage Protector Windows版の保存先隔離機能については「ActiveImage Protectorの保存先隔離機能について」をご参照ください。

Support T.

ActiveImage Protector(AIP)トラブルシュート その3 パイプラインエラーとプラットフォームエラー等

ActiveImage Protector でバックアップ運用中にトラブルシュートが発生した場合、行うアクションは複数あります。調査依頼を頂く際には、基本的にはサポート情報があれば、何が起きているかある程度の類推が立てられます。
*全てがそうとは限りません。エラーの原因究明が困難の場合には、サポート情報をご提供頂き、調査が必要になります。

エラーコードを公開しているのでご参照ください。

今回は -701 と -999ついて取り上げます。エラーは下記を意味します。

-701 : パイプラインエラー
-999:予期しないPlatformのエラー

続きを読む…

ActiveImage Protector(AIP) トラブルシュート その1 VSSエラー編

ActiveImage Protectorの運用中にトラブルシュートが発生した場合、行うアクションは複数あります。
調査依頼を頂く際には、基本的にはサポート情報があれば何が起きているか、ある程度の類推が立てられます。
*全てがそうとは限りません。

エラーコードを公開しているのでご参照ください。

今回は -311 VSSを開始することができません について取り上げます。

続きを読む…

VMworld 2021 Japan 出展の裏側①

11月25日(木)、26日(金)に開催されるWeb版「VMworld 2021 Japan」にアクティファイは出展致します。詳細は下記をご参照ください。

VMworld 2021 Japan | VMware

今回、弊社はコンテンツだけの出展ではありますが、資料とビデオを2本といった感じで、現在予想より締め切りが早く焦って作成に入っています。

続きを読む…

永久増分バックアップ運用のポイントについて

ActiveImage Protectorは、初回だけフルバックアップ(ベースバックアップ)を実行し、以降は増分バックアップ運用を行うスケジュール設定が可能ですが、環境にもよりますが増分イメージファイル数の増加により増分バックアップの処理時間が長くなる傾向があります。

今回、ActiveImage Protectorのアドオン・オプションのImageCenter LEに搭載されている「結合」機能を使用して、増分イメージファイル数を減らすことにより増分バックアップの処理時間が改善されるか試してみました。

続きを読む…

AWS EC2からHyper-VへのVM移行を試してみました – その5

前回は、Hyper-VへのVM移行に使用するイメージファイルの作成手順を紹介しましたが、今回は、以下のステップ4の[ActiveImage Protector] の仮想化機能を利用して、EC2インスタンスのバックアップイメージから、直接、検証用のHyper-V上に変換した仮想マシンを作成する手順を紹介していきます。以下の検証環境図の赤枠の部分です。

・ステップ1:AWS EC2を構築
・ステップ2:AWS EC2にバックアップ保存用ボリュームを追加
・ステップ3:AWS EC2をバックアップ
・ステップ4:バックアップから直接Hyper-V上に仮想マシン作成
・ステップ5:移行後の処理

続きを読む…

AWS EC2からHyper-VへのVM移行を試してみました – その2

「AWS EC2からHyper-VへのVM移行を試してみました – その1」をお読みいただき、ありがとうございます。

今回は、以下の「ステップ1:AWS EC2を構築」について、EC2 仮想マシン(VM)の移行検証環境として、移行元のEC2インスタンスを構築してみます。

・ステップ1:AWS EC2を構築
・ステップ2:AWS EC2にバックアップ保存用ボリュームを追加
・ステップ3:AWS EC2をバックアップ
・ステップ4:バックアップから直接Hyper-V上に仮想マシン作成
・ステップ5:移行後の処理

具体的には、以下の構成概要図の[VPC(Virtual Private Cloud)]と[EC2(Elastic Compute Cloud)]を作成して、リモートデスクトップ(RDP)から接続するまで進めてみたいと思います。また、どなたでも試していただけるように、詳細にまとめてみました。

続きを読む…

AWS EC2 から Hyper-V への VM 移行を試してみました – その1

一度クラウド化したものの、利用コストが当初見込みを大きく上回ったりするなどの理由で、「オンプレに戻すことを考えている」というお客様の声をお聞きすることがあります。
「どげんかせんといかん」と勝手に思い込み、クラウド初心者の私が AWS EC2 から Hyper-V への VM 移行を「ActiveImage Protector」の「バックアップ」と「仮想化」機能を使って試してみましたので、その話をしようと思います。

試す前に、AWS EC2、VPC、EBS・・、意味不明な用語について、得意のインターネットからググり何とか理解?して、試行錯誤の末に以下の検証環境を構築しました。

・移行元: AWS EC2インスタンス(Windows Server 2016 (x86_64) t2.micro)
・バックアップ保存先:追加ストレージボリューム(Amazon EBS)
・移行先: Hyper-V(Windows 10 Enterprise)

検証概要は、こんな感じです。
悩みましたが、簡単、確実、且つローコストで移行できる方法ではないかと、いつものごとく勝手に思い込んでいます。

EC2 の移行と書くと凄そうですが、単にバックアップ保存先を EC2 のローカルボリュームに配置することぐらいです。失敗談として、バックアップ保存先の追加ボリュームが別リージョンに作成されていたため、バックアップ検証毎にデータ転送料金「DataTransfer」が加算されていました。

最後に、実際試してみて「ActiveImage Protector」の「バックアップ」と「仮想化」機能を利用すれば、クラウドからオンプレへの移行が簡単にできます。今回の検証方法について、全部一気に書くととても長くなってしまいますので、今後、以下のステップで紹介していきます。

次回は、「AWS EC2インスタンスを構築」についての話をしたいと思います。

・ステップ1:AWS EC2 を構築
・ステップ2:AWS EC2 にバックアップ保存用ボリュームを追加
・ステップ3:AWS EC2 をバックアップ
・ステップ4:バックアップから直接 Hyper-V 上に仮想マシン作成
・ステップ5:移行後の処理

By Oki

[仮想化設定の画面]

[Hyper-V 上に変換された直後の仮想マシン]

続きはこちら:「AWS EC2 から Hyper-V への VM 移行を試してみました – その2

「DIS ICT EXPO 2020 in 名古屋」に出展しました。

2月14日金曜日のバレンタインデー、ダイワボウ情報システム(株)様主催の「DIS ICT EXPO 2020 in 名古屋」に出展しました。

会場はウインクあいち7Fの展示場でした。

新幹線の止まる名古屋駅から近いのが良いですね。

少し迷っても、そこまで時間がかからずにたどり着けます。

 

私たちは、バックアップツール「ActiveImage Protector 2018 Update」やキッテイングツール「ActiveImage Deploy USB」を展示しました。

 

今回は新型コロナウイルスの問題がある中での開催だったのですが、非常に多くの方が会場まで足を運んでくださっていました。

 

最後になりますが、当日私たちのブースへお立ち寄りいただいた皆様、ありがとうございました。

今年度の「DIS ICT EXPO」は今回でラストになります。

来年度も機会がございましたら、よろしくお願いします。

 

新型コロナウイルスやインフルエンザ等、体調にはお気をつけください。

 

SY