share facebook facebook2 twitter menu hatena pocket slack

2015.11.16 MON

100台のMacとWindowsをAWSに暗号化してバックアップする

WRITTEN BY齊藤 愼仁

20595906813_09e2633147_o

シンジです。社内のクライアントマシン100台程度だから何とかなるバックアップソリューション「Code42」の「Crash Plan」を選択しました。社内の閉域網内にいるAWSのVPC内にEC2を立てて、そこにサーバーアプリをインストールしてやります。後はバックアップ対象のクライアントマシンにアプリを入れて、バックアップ開始、それだけです。

バックアップソリューションもいろいろ

散々あれこれ検証しました。そもそもMacがメインのcloudpackには、Time Machineがあるのです。そうでなくてもAcronis true imageという良い製品があります。ただこれらがやっかいで、ユーザー自身でイメージバックアップが取れるということは、自宅でもイメージバックアップが取れるということです。会社の資産が社外に持ち出して保存できるということですね。

そもそもTime Machineではバックアップという行為に統制が取れません。例えばバックアップの失敗や、リカバリーの履歴などなどです。そしてネットワークセグメントを超えられないという問題もあります。有線LAN、無線LAN、拠点ごとのセグメント、それぞれにTime Machineが「オンプレ」で必要になります。

そうでなくても今時オンプレにサーバー置きたくないです!というわけでシンジはAWSを選択することになるわけですが、クライアントバックアップには以下の問題がつきまといます。

・保存先のディスク容量食い尽くし

・ネットワークトラフィック食い尽くし

個人的に調べた結果、これらの問題を一挙に解決するソリューションは「commvault」だと思いました!では何故comvaultを導入しなかったのかというと、ライセンスがややこしくて挫折したからです。シンジの怠慢です。

Code42 CrashPlanのライセンス形態は単純

$5 PER USER/ MONTH Endpoint backup & restore

Software only Up to 4 devices per user

とあります。が、契約は年間なので、実際は1ユーザーあたり年間60ドルかかります。デバイスは1ユーザーあたり4デバイスまでです。

cloudpackでサービス選定をする際の基準

細かいところはあれど、特に見ている点が以下の通りです。

・Active Directoryと連携出来るか

・シングルサインオン出来るか

・データは暗号化されるか

です。その時点でかなり絞られるわけですが、実は今回選んだCode42は、純粋にバックアップ機能を評価しているなかで、後からたまたまSSOやAD連携が出来る事に気がついたという。ラッキーw

それらしいストレージ管理機能は一通り揃ってる

ちなみに一番上の画像は、管理者用のダッシュボードを見てるわけですが、ユーザーもアクセスして自身のバックアップ状況を見たり、リストアしたりできます。

バックアップ出来ていなければアラートを上げるとか、帯域制御するとか、CPU食い尽くさないように設定するとか、ファイルやフォルダの除外設定などなど、それらしいエンプラ向けバックアップの機能は揃っているように思います。値段の割にはいろいろ出来る印象。

実際使ってみた感じ

70Mbps程度のトラフィックを食ってました。この数字はサーバーサイドのアプリで制御しようと思えば出来ます。クライアントサイドでも、WANかLANかで上り下りどうするか制御設定出来ます。出先VPNでのパケ死を回避です。そしてストレージは圧縮するせいか、思ったより伸びない。そしてこいつはダイレクトにS3に保存してくれない。実におしい。S3に直接置きたかった。なので、でっかいEBS付けて、いっぱいになりそうになったら適当にアラート、EBSの容量増やして再起動。サーバーは落ちてもクライアント側では別に「なんか接続出来ないから後にするわ」くらいの扱いなので気楽に再起動です。というわけで冒頭で「100台程度なら」と書いたわけです。例えばこれが1,000台規模をダイレクトにクラウドバックアップ、となると無謀な気がしました。この場合はVDIいっちゃうかオンプレの方がコスパ良さそうです。

バックアップされたデータに管理者はアクセス出来るか

できません。参照・リストアできるのは本人のみです。が、管理者が本人になりすましてパスワード変更してやれば(本人のメールアドレスを受信するか、AD連携してパスワードを書き換えてやることで)、そのデータにアクセスすることもできます。ちょっとややこしいですが。まぁ本質はプライバシーの話もそうなのですが、もしバックアップ先のEC2にEIP割り振って公開したとしても、その中に入ってるデータそのものは暗号化されてるのでそれなりに安全ってことですね。さすがにEIPは付けませんが。

30日間は無料

バックアップ出来るクライアントOSはMac, Windowsだけでなく、Linuxもいけるようです(試してません)

ちなみにサーバーOSもいろいろ対応しています(XPからSolarisもいけるらしい)

Enterprise Server System Requirements – Code42 Support http://support.code42.com/Administrator/3/Planning_And_Installing/Enterprise_Server_Requirements

会社のバックアップソリューションにお悩みの方は

comvaultとCode42を是非試してみて欲しいです!(クラウドでもオンプレでも使えます)

元記事はこちら

100台のMacとWindowsをAWSに暗号化してバックアップする

齊藤 愼仁

cloudpack 社内インフラ担当、情報セキュリティ責任者。HPCを経て現職に至る。無類の猫好きで、すだち君という名の猫を飼っている。