ftStorageアレイが最初に考案されたとき、管理者はアレイ上で何かを設定する必要があるとき、OpenVOSのログインセッションからコマンドラインインターフェースを使用するか、OpenVOSのコンソールPCからGUIインターフェースにアクセスするかのどちらかを使用すると考えていました。多くの管理者はGUIインターフェースを好みます。残念ながら、コンソールはメンテナンスネットワークに接続されており、システムの近くにあります。このため、ほとんどの管理者、特に消灯インストールの管理者にとっては不便です。しかし、GUIインターフェースへのリモート接続を可能にするいくつかのソリューションがあります。
コンソールにリモートデスクトップ
コンソールはPCなので、1つの解決策としては、もう1つのネットワークアダプタを追加することです。この 2 番目のアダプタは、リモートアクセスが可能なネットワークに接続されます。システム管理者は、リモートデスクトップクライアントを使用してコンソールPCに接続し、事実上コンソールの画面、キーボード、マウスの前に座って操作します。このアプローチの主な利点は、追加のソフトウェアが不要で、リモートデスクトップソフトウェアはすでにコンソールPC上にあり、管理者のワークステーション上にあると思われます。ネットワークアダプタを追加してネットワークに接続しなければならないことに加えて、主な欠点は、リモートネットワークにアクセスできる人は誰でもコンソールPCにアクセスできるというセキュリティの弱さです。彼らがログインアカウントを持っていなくても、PCに侵入したり、そこからOpenVOSシステムを含むメンテナンスネットワーク上のデバイスに侵入したりすることができます。
ローカルルーティング
これは、システム管理者が ftStorage アレイに接続された OpenVOS システムと同じローカルサブネット上のワークステーションで作業していることを前提としています。これを動作させるためには、3つのことを設定する必要があります。最初に、管理者のワークステーション上で、OpenVOSシステムをゲートウェイとして使用してストレージアレイへのルートを設定する必要があります。第二に、OpenVOS システムをゲートウェイとして使用するデフォルトルートを持つように ftStorage アレイを設定する必要があります。第三に、OpenVOS システムがパケットを転送するように構成する必要があります。この方法の主な利点は、余分なソフトウェアが必要ないことです。欠点は、管理者のワークステーションがOpenVOSシステムと同じサブネット上にあることと、OpenVOSがパケットを転送するように設定されていることです。一般的には、どのパケットを転送するか転送しないかを OpenVOS に伝えることができないので、これはセキュリティ上のリスクと考えられます (ただし、VOS のホストベースのファイアウォールを参照してください)。
VOSからのSSHトンネリング
OpenSSL and OpenSSH for VOS" が OpenVOS システムにインストールされている場合、 OpenVOS システムへの TCP アクセスがあれば誰でも ftStorage アレイに接続できるポートフォワーダを作成することができます。ftStorage アレイが 10.10.10.1.20 にあると仮定すると、コマンドは次のようになります。
>システム>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 [email protected]
ここで、USERNAMEは管理者のログイン名です。管理者がOpenVOSシステム上で公開鍵を設定している場合、その鍵をauthorized_keysファイルに追加することができ、パスワードの入力を求められることはありません。これは、管理者が起動プロセスとしてコマンドを実行できることを意味する。公開鍵認証を使用するための Stratus STCP SSH の設定 を参照のこと。
start_process '>system>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 [email protected]' -output_path foo.out -process_name foo
コマンドが実行されると、管理者はワークステーション上でブラウザを起動し、URL "http://openvos-system-name:49876/"を使用します(OpenVOS-SYSTEM-NAMEはシステムの名前またはIPアドレスです)。
図1
この方法の主な利点は、ワークステーションに余分なソフトウェアを必要としないことです。また、SSH が起動プロセスとして実行される場合、一度だけ起動する必要があり、複数の管理者が複数回に渡って使用することができます。登録ユーザだけでなく、OpenVOS システムへの TCP 接続があればどこからでも誰でも ftStorage ゲートウェイにアクセスできます。VOS システムにはログイン認証はありませんが、ftStorage アレイはユーザ ID とパスワードを要求します。トンネルのリスニングエンドとして選択されたローカルポートを保護するファイアウォールなしでは、私はこのアプローチを実装しません (これも VOS 用のホストベースのファイアウォールです)。
ワークステーションからのSSHトンネリング
OpenSSL and OpenSSH for VOS" が OpenVOS システムにインストールされていれば、 PC ベースのトンネルを設定して PC からのポート転送を許可することができます。この方法の主な利点は強力なセキュリティで、トンネルの設定には VOS 認証が必要で、ワークステーションと OpenVOS 間のすべてのパケットを暗号化します。主な欠点は、各管理者がトンネルを使用するたびにトンネルを設定しなければならないことと、ワークステーションにSSHソフトウェアをインストールする必要があることです。
私がよく知っているSSHソフトウェアパッケージはいくつかあります。SSH トンネルを設定することだけを計画しているのであれば、PuTTY が最もシンプルに使えます。http://www.chiark.greenend.org.uk/~sgtatham/putty/からダウンロードできます。
以下の手順で、このブログが公開された時点で現在のPuttyのバージョンであるPuTTY 0.60を設定することができます。
PuTTY を起動すると、設定ダイアログが表示されます。ダイアログの左側のカテゴリセクションでSSHセクションを展開し、トンネルを選択します。送信元ポート編集ボックスには、ワークステーションがリッスンするローカルポート番号を入力します。宛先編集ボックスには、ftStorageアレイのIPアドレス、コロン、ポート番号80(図2では10.10.1.20:80)を入力します。追加ボタンを押して、その情報をエディットボックスからダイアログの右側の中央にある"Forwarded ports"表示に移動します。
図2
ここで「SSH」のカテゴリを選択します。Protocol options」で「Don't start a shell or command at all」と「2 only」にチェックを入れます。SSHプロトコルバージョン1はもはや安全とは考えられないので、絶対に使わないようにしましょう。
図3
セッションカテゴリに戻り、OpenVOSシステムの名前またはIPアドレスを入力し、Openを押します。
図4
PuTTYはユーザー名を要求し、接続を行った後にパスワードを要求します。この時点で、エラーがなければ、ウィンドウを最小化するか、バックグラウンドのままにしておくことができます。ウィンドウを閉じないでください。
図5
最後にブラウザを開き、URL 127.0.0.0.1:49876を入力します。
図6
終わったら、ブラウザを閉じるか、少なくとも ftStorage 配列に接続されているタブを閉じて、PuTTY ウィンドウを閉じてください。