Nutanix Filesのバックアップと復元（Self Service Restore）

Nutanix Filesのバックアップ

今回はFilesのバックアップ周りについて、ご説明させて頂きます。
はじめに、Nutanix Filesは純正の機能だけでバックアップ、レプリケーション、フォルダ単位のリストアが可能です。
障害対策を目的としたバックアップやレプリケーションとそれらの復元はProtection Domain、ヒューマンエラーなどによって生じた細かなフォルダ単位のリストアはSelf Service Restoreという機能を用いることで、対応することが出来ます。

Protection DomainでFilesの保護

FilesはNutanixのスナップショットを利用した純正のバックアップ機能が利用可能です。
過去の記事「Nutanix Filesの構築手順①（Filesの作成）」（https://hanpamonoengineer.blogspot.com/2020/04/nutanix-filesfiles.html）で、Files構築時にNutanixのバックアップ機能であるProtection Domainを自動的に作成することが出来ます。

※Protection Domainについては、以下の記事をご覧下さい。
https://hanpamonoengineer.blogspot.com/2020/02/nutanixprotectiondomain.html

過去の記事でFilesをデプロイする直前に「Create a Protection...（略）」という項目にチェックを入れた場合は、FilesのProtection Domainが自動的に作成されます。

左上のメニューから「Protection Domain」を選択することで、Filesを保護するProtection Domainが作成されていることを確認できます。

右下の「Take Snapshot」から、Filesのバックアップを取得することが出来ます。

必要に応じて、右下の「Update」から取得タイミングのスケジュールなど設定を行って下さい。

すでに存在するFilesのProtection Domainを作成したい場合は、再度左上のメニューから「File Server」に戻り、保護したいFilesを選択し下部の「Protect」を選択します。

表示されたウィンドウの下部に「Protect File Server」というボタンがあるので、こちらを選択することでFilesのProtection Domainが作成出来ます。

なお、Protection Domainはボタン左のテキストに入力された名前で作成されます。

Protection Domainからの復元

Protection Domainからの復元はFilesのFSVMと呼ばれる仮想アプライアンスをまるっとクローンする形で実施されます。

対象のProtection Domainを選択した状態で、下部の[Local Snapshots]タブから復元ポイント一覧が確認出来ます。

復元ポイント右側の「Restore」を選択することで、復元のメニューが表示されます。

以降の手順は、Files作成時と同様でFilesのホスト名や所属するドメイン名、FSVMのIPアドレス設定などを行う形になります。

新規作成時とほとんど差異はありませんが、以下のように画面は遷移します。

・Filesのホスト名と所属ドメインを指定

・クライアント側のネットワークを指定

・ストレージ側のネットワークを指定

・ディレクトリサービスの指定（SMBを選択）

・最後の確認画面は作成時と異なります。（15分ほど時間が必要とアナウンスされています）

※ホスト名、IPアドレスなどは既存のFilesが存在する場合にバッティングしてしまうので、注意して下さい。

おおよそ15分程度でクローン（復元）が完了しました。

仮想マシン一覧から、FSVMもクローンされていることが確認出来ます。

クライアントからの接続も問題なく実施出来ます。

以上で、Protection Domainによる保護と復元方法になります。

Protection Domainはリストア時の粒度が大きくなります。

フォルダ単位の細かな復元を行う場合は、次のSelf Service Restoreを活用します。

Self Service RestoreでFilesを保護

Self Service Restoreと呼ばれる機能を利用することで、フォルダ単位の細かな復元が行えます。

Self Service RestoreはFilesで作成した共有フォルダ単位で設定を行います。

共有フォルダ作成時に存在する項目「Enable Self Service Restore」にチェックを入れることで有効になります。

※共有フォルダ作成方法については、以下の記事をご覧下さい。

（https://hanpamonoengineer.blogspot.com/2020/05/nutanix-files.html）

すでに作成済みの共有フォルダでSelf Service Restore設定の有無は「SHARE/EXPORT」

から確認出来ます。

Self Service Restoreの項目がYESであれば、有効になっている状態です。

Self Service Restoreの取得状態は、下部の「Self Service Restore」タブから確認することが出来ます。

（こちらはあくまで確認だけ出来ます。）

また、作成済みの共有フォルダでSelf Service Restoreを有効にするには、共有フォルダを選択して下部の「Update」から作成時と同様の項目が設定出来るので、こちらから「Enable Self Service Restore」にチェックを入れることで有効化出来ます。

Self Service Restoreの復元ポイントが作成されるタイミングを指定することも可能です。

Protection Domainを作成する時と同じく、「Protect」から復元ポイントが作成されるタイミングが設定出来ます。

デフォルトでは以下のタイミングで復旧ポイントの作成と保持が行われます。

・1時間毎/24保持

・1日毎/7保持

・1週間毎/4保持

・1ヶ月毎/3保持

右側の「鉛筆マーク」を選択することで変更、または「+Add schedule」から新たな項目が追加することが出来ます。

Self Service Restoreからの復元

Self Service Restoreの復元は作業は非常に簡単です。

Self Service Restoreを有効化した共有フォルダは、Windowsエクスプローラーの[プロパティ - 以前のバージョン]タブから復元ポイントの一覧が表示されます。

復元ポイントを選択して既存フォルダへ上書きすることや、共有フォルダ内の各ファイル・フォルダを異なる場所に保存することも出来ます。

Self Service Restoreの優れている点は、細かな粒度で復元出来るということはもちろんですが、復元作業をアクセス権を持つ各ユーザーが個別で実施出来ることです。

一般的なファイルサーバーであればヒューマンエラーによるファイルの消失が発生した場合は、ファイルサーバーの管理者が復元作業を実施することが多いです。

ファイルサーバーの管理者は様々な業務を兼任していることが多く、社員数が増えると復旧作業に時間を多く取られてしまい、他の業務に時間を割けないなどの課題が発生します。

Self Service Restoreを利用すれば、ヒューマンエラーによるファイル消失の復元作業は各ユーザーにオフロード出来るため、管理者の復元作業に伴う負荷を軽減することが出来ます。

まとめ

今回はFilesを保護する２つの方法をご紹介しました。

Protection Domainによる保護は遠隔地へのレプリケーション（バックアップ）用途でも利用できるため、障害発生時に備えたデータ保護という目的で大きな効果を発揮します。

ただし保護を行う粒度が大きくなり、復旧時はクローンを作成する仕様により余剰なリソースが必要となってしまうため、利用できるシーンが限定されます。

Self Service Restoreによる保護は共有フォルダ単位で設定が可能なため、細かな粒度で設定が行えます。

また、復元作業も各ユーザーが簡単に実施出来るため、ファイルサーバー管理者の負荷を軽減出来る点も非常に優れたものになります。

２つの機能を併用することで、障害発生時のファイルサーバー全体の復旧と、ヒューマンエラー等による共有フォルダ単位の細かな復旧が対応可能になります。

Nutanix Files（共有フォルダの種類と負荷分散）

過去の記事「Nutanix Filesの構築手順②（共有フォルダの作成）」（https://hanpamonoengineer.blogspot.com/2020/05/nutanix-files.html）で共有フォルダの作成方法をご紹介した際に、通常利用される「標準共有フォルダ」以外にホームフォルダーやユーザープロファイル用途に適した、「分散共有フォルダ」というものが説明に少しだけ出てきたかと思います。
今回はこちらについて、詳しくご説明をさせて頂きます。

Filesの負荷分散について

分散共有フォルダの特徴を理解するためには、Filesの負荷分散の仕組みについて把握しておく必要があります。

標準共有フォルダの負荷分散

「分散共有フォルダ」の前に、「標準共有フォルダ」の負荷分散の仕組みついてご説明します。
なお、過去の記事「Nutanix Filesの構築手順②（共有フォルダの作成）」でご紹介した内容は「標準共有フォルダ」を作成する方法になります。

FilesはFSVMと呼ばれるNASヘッドの役割を担う仮想アプライアンスが、Nutanixの各ノード上で動作するということはFilesの記事を初めて投稿した際にお伝えさせて頂いたかと思います。

ファイルサーバー利用時、クライアントは各ノード上のFSVMにアクセスされ、負荷分散が行われます。
もう少し詳しく説明するとこの負荷分散はFilesで作成した上位の共有フォルダ毎にFSVMが割り当てられる仕組みになっており、例えば以下の図のような形で部署ごとの共有フォルダを複数作成した場合には、それぞれアクセスした際の接続先FSVMが共有フォルダ毎に固定されます。

接続する人数が多い、または扱うデータが極端に多い共有フォルダなどが存在する場合は負荷が分散されるように設計を考慮する必要があります。
特にホームフォルダーやユーザープロファイルの領域を「標準共有フォルダ」で作成してしまうとMS側の仕様上、一つのフォルダ直下にユーザー毎のプロファイルが作成されてしまうため、一つのFSVMに全ユーザーのアクセスが集中してしまい、パフォーマンスに影響を及ぼす恐れがあります。

分散共有フォルダの負荷分散

ここまでの説明は以前の記事でご紹介したFilesの「標準共有フォルダ」で作成された場合の仕様になります。
今回の記事で紹介する「分散共有フォルダ」は、上記と異なる動作が行われます。
「分散共有フォルダ」の負荷分散はFiles上で作成した、上位のフォルダ直下のフォルダ毎にFSVMが割り当てられる形になります。
ホームフォルダーやユーザープロファイルの領域は指定したフォルダ配下にユーザー毎のフォルダが自動的に作成されるため、各FSVMに効率よく負荷分散が行われます。

以下の図は標準共有フォルダと分散共有フォルダ両方のパターンでユーザープロファイル用途にFilesを利用した場合のイメージ図になります。

●標準共有フォルダでユーザープロファイル領域を作成した場合（ダメなパターン）

Filesの上位共有フォルダ（図では「UserProfile」フォルダ）でFSVMが割り当てられる仕様のため、一つのノードに負荷が集中しまいます。

●分散共有フォルダでユーザープロファイル領域を作成した場合（良いパターン）

Filesの上位共有フォルダ直下のフォルダ（図では各ユーザープロファイルのフォルダ毎）でFSVMが割り当てられるため、各ノードで負荷が分散されることになります。

このように、上位フォルダ直下の各フォルダにアクセスが集中するような用途の場合は「分散共有フォルダ」を利用することで、効率的に負荷分散が行なえます。

分散共有フォルダの作成方法

分散共有フォルダを作成する場合は、過去の記事「Nutanix Filesの構築手順②（共有フォルダの作成）」（https://hanpamonoengineer.blogspot.com/2020/05/nutanix-files.html）で共有フォルダ作成時の項目「Use "Distributed"...(略)」にチェックを入れることで分散共有フォルダとして作成することが出来ます。

※この項目は共有フォルダ作成後に変更は出来ないため、注意して下さい。

なお、すでに作成した共有フォルダがどちらなのかを確認する場合はPrismの「SHARE/EXPORT DETAILS」から確認出来ます。

 ↓拡大↓

分散共有フォルダの場合は「Distributed」、標準共有フォルダの場合は「Standard」と表示されます。

分散共有フォルダ利用時の注意点

ここまで色々といいことをご紹介してきた分散共有フォルダですが、残念ながら少しばかりデメリットがあります。
分散共有フォルダ直下の共有フォルダはWindowsのエクスプローラーからはアクセス権の設定やフォルダの作成が行なえません。
各種操作はMMC（Microsoft 管理コンソール）に専用のプラグインを追加することで対応することが可能です。

プラグインの準備

Files用のプラグインはNutanix Support Portalよりダウンロード出来ます。

msi拡張子のこのようなファイルが取得できます。

取得したmsiファイルを実行し、画面の指示にしたがってインストールを進めます。

MMCにプラグインを追加

インストール後にMMCを起動し、インストールしたプラグインを追加します。
追加されたプラグインは「Files TLD Namespace Management」という名称で表示されます。

追加する際にFilesのホスト名（例：\\ntnx-files01）を入力します。

分散共有フォルダのアクセス権変更と直下へのサブフォルダ作成

MMCから追加したプラグインを起動すると、Filesの共有フォルダ一覧が表示されたウィンドウが表示されます。

一覧から分散共有フォルダを右クリックして、「Change Permissions」からアクセス権の変更、「New Folder」からフォルダの作成が出来ます。

操作は以上になります。

簡単な手順ですが複数の画面を操作することになってしまうので、運用時の負荷が高まってしまう点はデメリットになると私は考えています。

※ユーザープロファイルとして利用時

ユーザープロファイルとして利用する場合は、GPOでユーザープロファイルの領域に分散共有フォルダを指定することで、ユーザー初回ログオン時にプロファイルが自動的に作成されます。
指定方法は通常のファイルサーバーと同じです。
　指定方法：\\{Filesのホスト名}\[分散共有フォルダ名}\%USERNAME%

（いくつかのユーザーでログインした後の分散共有フォルダの状態）

ユーザープロファイルのような用途であれば、手動でフォルダを作成する必要がないため分散共有フォルダを簡単に活用することが出来ます。

簡単にまとめ

ふたつの共有フォルダはそれぞれ異なった特徴を備えているため、利用されるシチュエーションで使い分けることが求められます。

各部署で利用するような通常の共有フォルダは「標準共有フォルダ」で作成することにより、基本的な操作はWindowsエクスプローラーから行えるため、NTFSアクセス権の設定や新たなフォルダ作成など運用がやりやすくなります。

ユーザープロファイルのような大量のフォルダが作成され、負荷が集中されるような共有フォルダの用途では、「分散共有フォルダ」で作成することで効率よく負荷分散が行われます。


今回は主に分散共有フォルダにスポットを当ててご紹介をさせて頂きましたが、いかがだったでしょうか。
Nutanixは複数のノードで提供されることが前提のため、通常のファイルサーバーと異なり負荷分散を効率よく行うための仕組みが組み込まれています。
簡単に利用できるFilesですが、その良さを活かすためには少しだけこういった工夫が必要になってきます。

次回も同じくFilesに関する内容を投稿予定です。

Nutanix Filesの構築手順③（アクセス権とクォータの設定）

前回の記事（https://hanpamonoengineer.blogspot.com/2020/05/nutanix-files.html）では共有フォルダの作成までをご紹介しました。

今回は共有フォルダにアクセス権の設定方法とクォータの設定方法についてご紹介します。

アクセス権の設定

アクセス権の設定は現状Windows Serverから行う必要があります。

Prismの管理から外れてしまうのは少し残念ですが、従来からWindowsファイルサーバーを利用している場合は同じように運用できるので、そこまで影響は無いのかなとも思っています。

NTFSアクセス権

NTFSアクセス権は、Windowsファイルサーバーと同じようにエクスプローラーから変更が可能です。

共有フォルダを右クリックして[プロパティ - セキュリティタブ]から変更することが出来ます。

共有アクセス権

次に共有アクセス権の設定方法ですが、こちらはWindows Serverの「コンピューターの管理」から行うことになります。

「コンピューターの管理」を起動して、左側ツリーのルートを右クリックし「別コンピューターへ接続」を選択し、Filesを指定します。

「システムツール - 共有フォルダー - 共有」にFilesの共有フォルダ一覧が表示されます。

対象の共有フォルダを右クリックして[プロパティ - 共有のアクセス許可]から共有アクセス権を変更することが出来ます。

※Files接続後にこのような警告が表示されますが、動作に影響はないので無視してOKを押して下さい。

なお、一般的にファイルサーバーに対して行うアクセス制御は共有アクセス権を[Everyone]に設定しておき、NTFSアクセス権で制御することが推奨されています。

これは共有アクセス権がローカルマシン（ネットワークを介さない）からのアクセスには適用されず、移行の際に手間が掛かってしまうためです。

FilesではそもそもWindowsのようにローカルから接続することや、Nutanixを導入し続ける限りリプレースによるFilesの移行作業というものは発生しませんが、両方のアクセス権を混在してしまうと管理が煩雑になってしまうので、NTFSアクセス権で制御することをおすすめします。

クォータの設定

クォータの設定は以下の3種類が存在します。

・共有フォルダのクォータ

・ユーザーのクォータ

・グループのクォータ

共有フォルダのクォータ

共有フォルダに対して利用できる容量を指定するクォータの設定です。
Prismから共有フォルダを選択して、「Update」を選択します。

項目「Max Size」に上限値をGiB単位で指定し、「Next」を選択すると完了です。

なお、この項目は共有フォルダ作成時も存在するため初めに設定することも可能です。

共有フォルダのクォータ設定は以上です。

ユーザー・グループのクォータ

共有フォルダに対してユーザー、またはグループをベースに容量制限を行うクォータ設定です。
「ユーザー」そのまま、Active Directoryに登録された一人のユーザーに対して、「グループ」はActive Directoryのグループに所属する各ユーザーに対して同じ容量の制限を行います。

Prismから共有フォルダを選択して、「+Add Quota Policy」を選択します。

このようなウィンドウが表示されます。

・項目「Add a quota policy」
ユーザー、またはグループどちらで制限を行うかを指定します。
いずれかのラジオボタンにチェックを入れ、下のテキストボックスにオブジェクト名を入力します。
ここで存在しないオブジェクトを入力すると、ウィンドウ上部に赤字で警告メッセージが表示されます。

・項目「ENFORCEMENT TYPE」
ハードリミット（制限を超えると書込不可）、ソフトリミット（制限を超えても書込可）を指定します。

・項目「Alert Emails」
「Send email notification to user」にチェックを入れることで、指定した制限に近づいたときに利用者にメールによる通知を行うか設定します。
利用者のメールアドレスはActive Directoryに登録されたメールアドレス宛に送信されます。

利用者以外にシステム管理者などにもメール通知を行う場合は、「ADDITIONAL EMAIL RECIPIENTS」に送信したいメールアドレスを入力することで、利用者と同じタイミングでメール送信が行われます。
※事前にNutanixのSMTP設定を行う必要があります。

各項目を入力した後に、「Save」を選択することで設定完了です。

設定した内容はPrism下部の[Quota]タブから確認出来ます。

↓拡大↓

右の鉛筆マークから、設定を変更することが出来ます。

ユーザー・グループのクォータ設定は以上です。

クォータの優先度

これらの各クォータの優先度は

①共有フォルダのクォータ　＞　②ユーザーのクォータ　＞　③グループのクォータ

の順番で適用されます。

例えばグループのクォータを100GBに指定していても、ユーザーのクォータに200GBの制限をかけている場合は、ユーザー側のクォータ200GBが優先されます。
また、ユーザーが複数のグループに所属している場合は容量の多いグループが優先されます。

クォータ制限時の動作について

共有フォルダ、またはハードリミットを指定したユーザー・グループのクォータ制限以上のファイルを保存しようとすると、このように警告が表示され保存出来ません。

メール通知を設定している場合は、以下のようなメールが送信されます。

上のメールはソフトリミットで制限を超えた際に通知されたメール、下は制限に近づいた際に通視される警告メールです。

（90%を超えると、警告メールが送信されます。）

以上でアクセス権とクォータに関する説明は以上です。

①、②、③でご紹介した内容で、ある程度ファイルサーバーの運用に必要な手順をご紹介出来たのではと思います。