iSCSI イニシエータの接続 - AWS Storage Gateway

Amazon S3 File Gateway のドキュメントは、「What is Amazon S3 File Gateway?」に移動しました。

Amazon FSx File Gateway のドキュメントは、「What is Amazon FSx File Gateway?」に移動しました。

ボリュームゲートウェイのドキュメントは、「What is Volume Gateway?」に移動しました。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

iSCSI イニシエータの接続

ゲートウェイを管理するには、Internet Small Computer System Interface (iSCSI) ターゲットとして公開されているボリュームまたは仮想テープライブラリ (VTL) デバイスを使用します。ボリュームゲートウェイの場合、iSCSI ターゲットはボリュームです。テープゲートウェイの場合、ターゲットは VTL デバイスです。この作業の一部として、これらのターゲットへの接続、iSCSI 設定のカスタマイズ、Red Hat Linux クライアントからの接続、チャレンジハンドシェイク認証プロトコル (CHAP) の設定などのタスクを行います。

iSCSI 標準は、インターネットプロトコル (IP) ベースのストレージデバイスとクライアントとの間の接続を開始および管理するための IP ベースのストレージネットワーク標準です。iSCSI 接続と関連コンポーネントの説明に使用される用語の定義を以下に示します。

iSCSI イニシエータ

iSCSI ネットワークのクライアントコンポーネント。イニシエータは iSCSI ターゲットにリクエストを送信します。イニシエータはソフトウェアまたはハードウェアで実装できます。Storage Gateway は、ソフトウェアイニシエータのみをサポートします。

iSCSI ターゲット

イニシエータからリクエストを受け取って応答する iSCSI ネットワークのサーバーコンポーネント。各ボリュームは、iSCSI ターゲットとして公開されます。各 iSCSI ターゲットに接続される iSCSI イニシエータは 1 つだけです。

Microsoft iSCSI イニシエータ

クライアントコンピュータ (ゲートウェイに書き込むデータがあるアプリケーションを実行しているコンピュータ) を外部の iSCSI ベースのアレイ (ゲートウェイ) に接続できるようにする、Microsoft Windows コンピュータ上のソフトウェアプログラム。接続は、ホストコンピュータのイーサネットネットワークアダプタカードを使用して行われます。Microsoft iSCSI イニシエータは、Windows 8.1、Windows 10、Windows Server 2012 R2、Windows Server 2016、および Windows Server 2019 で検証済みです。イニシエータはこれらのオペレーティングシステムに組み込まれています。

Red Hat iSCSI イニシエータ

iscsi-initiator-utils Resource Package Manager (RPM) パッケージでは、Red Hat Linux 用にソフトウェアで実装されている iSCSI イニシエータを提供されています。このパッケージには、iSCSI プロトコル用のサーバーデーモンが含まれます。

各タイプのゲートウェイを iSCSI デバイスに接続でき、これらの接続は、次に説明するように、カスタマイズできます。

VTL デバイスの Windows クライアントへの接続

テープゲートウェイは、いくつかのテープドライブとメディアチェンジャー (VTL デバイスと総称します) を iSCSI ターゲットとして公開します。詳細については、「要件」を参照してください。

注記

各 iSCSI ターゲットには、アプリケーションを 1 つだけ接続します。

次の図は、Storage Gateway アーキテクチャ全体を示しており、特に iSCSI ターゲットを強調表示しています。Storage Gateway アーキテクチャの詳細については、「テープゲートウェイの仕組み (アーキテクチャ)」を参照してください。

バックアップアプリケーションに接続された iSCSI ターゲットとして公開されている Storage Gateway のテープドライブとメディアチェンジャー。
Windows クライアントを VTL デバイスに接続するには
  1. Windows クライアントコンピュータの [Start] (スタート) メニューで、[Search Programs and files] (プログラムとファイルの検索) ボックスに iscsicpl.exe と入力し、iSCSI イニシエータプログラムを見つけて実行します。

    注記

    iSCSI イニシエータを実行するには、クライアントコンピュータに対する管理者権限が必要です。

  2. プロンプトが表示されたら、[Yes] を選択して、Microsoft iSCSI イニシエータサービスを開始します。

    Microsoft iSCSI サービスの開始プロンプト。
  3. [iSCSI Initiator Properties] (iSCSI イニシエータのプロパティ) ダイアログボックスで、[Discovery] (検出) タブを選択して、[Discover Portal] (ポータルの検出) を選択します。

    [iSCSI イニシエーターのプロパティ] ダイアログ。[探索] タブと [ポータルの探索] ボタンが表示されています。
  4. [ターゲットポータルの探索] ダイアログボックスで、[IP アドレスまたは DNS 名] にテープゲートウェイの IP アドレスを入力し、[OK] をクリックします。ゲートウェイの IP アドレスを取得するには、Storage Gateway コンソールの [Gateway] (ゲートウェイ) タブを確認します。Amazon EC2 インスタンスにゲートウェイをデプロイした場合、パブリック IP アドレスまたは DNS アドレスは、Amazon EC2 コンソールの [Description] (説明) タブに表示されます。

    [ターゲットポータルの探索] ダイアログ。[IP アドレスまたは DNS 名] フィールドと [ポート] フィールドが表示されています。
    警告

    ゲートウェイが Amazon EC2 インスタンスにデプロイされている場合、パブリックインターネット接続経由でゲートウェイにアクセスすることはできません。Amazon EC2 インスタンスの Elastic IP アドレスは、ターゲットアドレスとして使用できません。

  5. [Targets] タブを選択し、[Refresh] を選択します。[Discovered targets] (検索済みターゲット) ボックスに、10 個すべてのテープドライブとメディアチェンジャーが表示されます。ターゲットのステータスは [Inactive] です。

    次のスクリーンショットは、検出されたターゲットを示しています。

    [iSCSI イニシエーターのプロパティ] の [ターゲット] タブ。検出されたターゲットが表示されています。
  6. 最初のデバイスを選択して、[Connect] を選択します。1 度に 1 台のデバイスを接続します。

  7. [Connect to Target] ダイアログボックスで [OK] を選択します。

  8. 接続するデバイスごとにステップ 6 と 7 を繰り返して、[iSCSI Initiator Properties] ダイアログボックスで [OK] を選択します。

Windows クライアントでは、テープドライブのドライバプロバイダは Microsoft である必要があります。次の手順を使って、ドライバのプロバイダを確認し、必要に応じてドライバとプロバイダを更新します。

ドライバープロバイダーを確認し、必要に応じて Windows クライアントでプロバイダーとドライバーを更新するには
  1. Windows クライアントで、デバイスマネージャを起動します。

  2. [Tape drives] を展開し、テープドライブのコンテキスト (右クリック) を選択してから、[Properties] を選択します。

    Windows のデバイスマネージャー画面。テープドライブのコンテキストメニューに [プロパティ] オプションが表示されています。
  3. [Device Properties] (デバイスプロパティ) ダイアログボックスの [Driver] (ドライバー) タブで、[Driver Provider] (ドライバープロバイダー) が Microsoft であることを確認します。

    Windows のテープドライブのプロパティダイアログ。ドライバーの [プロバイダー] と [ドライバーの更新] が強調表示されています。
  4. [Driver Provider] (ドライバープロバイダー) が Microsoft ではない場合、次のように値を設定します。

    1. [Update Driver] を選択します。

    2. [Update Driver Software] ダイアログボックスで、[Browse my computer for driver software] を選択します。

      Windows の [ドライバーソフトウェアの更新] ダイアログ。[コンピューターを参照してドライバーソフトウェアを検索] が強調表示されています。
    3. [Update Driver Software] ダイアログボックスで、[Let me pick from a list of device drivers on my computer] を選択します。

      Windows の [ドライバーソフトウェアの更新] ダイアログ。[コンピューター上のデバイスドライバーの一覧から選択します] が強調表示されています。
    4. [LTO Tape drive] を選択して、[Next] を選択します。

      Windows の [ドライバーソフトウェアの更新] ダイアログ。互換性のあるハードウェアドライバーの一覧が表示されています。
    5. [Close] (閉じる) をクリックして [Update Driver Software] (ドライバーソフトウェアの更新) ウィンドウを閉じ、[Driver Provider] (ドライバープロバイダー) の値が Microsoft に設定されたことを確認します。

  5. ステップ 4.1~4.5 を繰り返して、すべてのテープドライブをアップデートします。

ボリュームまたは VTL デバイスから Linux クライアントへの接続

トピック

    Red Hat Enterprise Linux (RHEL) を使用している場合は、iscsi-initiator-utils RPM パッケージを使用して、ゲートウェイの iSCSI ターゲット (ボリュームまたは VTL デバイス) に接続します。

    Linux クライアントを iSCSI ターゲットに接続するには
    1. iscsi-initiator-utils RPM パッケージがクライアントにまだインストールされていない場合はインストールします。

      パッケージをインストールするには、以下のコマンドを使用できます。

      sudo yum install iscsi-initiator-utils
    2. iSCSI デーモンが実行していることを確認します。

      1. 次のいずれかのコマンドを使用して、iSCSI デーモンが実行されていることを確認します。

        RHEL 5 または 6 を使用している場合は、次のコマンドを使用します。

        sudo /etc/init.d/iscsi status

        RHEL 7 を使用している場合は、次のコマンドを使用します。

        sudo service iscsid status
      2. ステータスコマンドが running ステータスを返さない場合は、次のいずれかのコマンドを使用してデーモンを起動します。

        RHEL 5 または 6 を使用している場合は、次のコマンドを使用します。

        sudo /etc/init.d/iscsi start

        RHEL 7 を使用している場合は、次のコマンドを使用します。RHEL 7 の場合、通常、iscsid サービスを明示的に起動する必要はありません。

        sudo service iscsid start
    3. ゲートウェイに対して定義されているボリュームまたは VTL デバイスターゲットを検出するには、次の discovery コマンドを使用します。

      sudo /sbin/iscsiadm --mode discovery --type sendtargets --portal [GATEWAY_IP]:3260

      前のコマンドの [GATEWAY_IP] 変数の値を、実際のゲートウェイの IP アドレスに置き換えます。ゲートウェイ IP は、Storage Gateway コンソール上のボリュームの [iSCSI Target Info] (iSCSI ターゲット情報) プロパティに表示されます。

      discovery コマンドの出力は、次の出力例のようになります。

      ボリュームゲートウェイの場合: [GATEWAY_IP]:3260, 1 iqn.1997-05.com.amazon:myvolume

      テープゲートウェイの場合: iqn.1997-05.com.amazon:[GATEWAY_IP]-tapedrive-01

      iSCSI 修飾名 (IQN) は組織ごとに固有であるため、実際の IQN の値は上で示されているものとは異なります。ターゲットの名前は、ボリュームを作成したときに指定した名前です。このターゲット名も、Storage Gateway コンソールでボリュームを選択したときに、[iSCSI Target Info] (iSCSI ターゲット情報) プロパティのペインに表示されます。

    4. ターゲットに接続するには、以下のコマンドを使用します。

      connect コマンドでは正しい [GATEWAY_IP] と IQN を指定する必要があります。

      警告

      ゲートウェイが Amazon EC2 インスタンスにデプロイされている場合、パブリックインターネット接続経由でゲートウェイにアクセスすることはできません。Amazon EC2 インスタンスの Elastic IP アドレスは、ターゲットアドレスとして使用できません。

      sudo /sbin/iscsiadm --mode node --targetname iqn.1997-05.com.amazon:[ISCSI_TARGET_NAME] --portal [GATEWAY_IP]:3260,1 --login
    5. ボリュームがクライアントマシン (イニシエータ) にアタッチされていることを確認するには、次のコマンドを使用します。

      ls -l /dev/disk/by-path

      コマンドの出力は、次の出力例のようになります。

      lrwxrwxrwx. 1 root root 9 Apr 16 19:31 ip-[GATEWAY_IP]:3260-iscsi-iqn.1997-05.com.amazon:myvolume-lun-0 -> ../../sda

      イニシエータを設定した後は、「Linux iSCSI 設定のカスタマイズ」で説明されているように iSCSI の設定をカスタマイズすることを強くお勧めします。

    iSCSI 設定のカスタマイズ

    イニシエータを設定した後は、イニシエータがターゲットから切断されないように iSCSI の設定をカスタマイズすることを強くお勧めします。

    次の手順で示すように、iSCSI タイムアウトの値を増やすと、アプリケーションが、長時間を要する書き込みオペレーションやネットワークの中断などの一時的な問題に適切に対処できるようになります。

    注記

    レジストリを変更する前に、レジストリのバックアップコピーを作成する必要があります。バックアップコピーの作成と、レジストリを使用する際に従うべきその他のベストプラクティスについては、Microsoft TechNet Library 「レジストリのベストプラクティス」を参照してください。

    Windows iSCSI 設定のカスタマイズ

    テープゲートウェイをセットアップする場合、Microsoft iSCSI イニシエータを使用して VTL デバイスに接続するには、次の 2 段階で行います。

    1. テープゲートウェイデバイスを Windows クライアントに接続します。

    2. バックアップアプリケーションを使用している場合は、デバイスを使用するようにアプリケーションを設定します。

    「使用開始」の例のセットアップでは、両方の手順について説明されています。Symantec NetBackup バックアップアプリケーションを使用します。詳細については、VTL デバイスの接続および NetBackup ストレージデバイスの設定を参照してください。

    Windows iSCSI の設定をカスタマイズするには
    1. リクエストをキューに保持する最大時間を長くします。

      1. レジストリエディタ(Regedit.exe)を起動します。

      2. 以下で示されている iSCSI コントローラの設定を含むデバイスクラスのグローバル一意識別子 (GUID) に移動します。

        警告

        00ControlSet1 や 00ControlSet2 などの別のコントロールセットではなく、 CurrentControlSetサブキーで作業していることを確認してください。

        HKEY_Local_Machine\SYSTEM\CurrentControlSet\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}
      3. 以下で [<Instance Number] として示されている Microsoft iSCSI イニシエータのサブキーを 探します。

        キーは、0000 などの 4 桁の数字で表されます。

        HKEY_Local_Machine\SYSTEM\CurrentControlSet\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\[<Instance Number]

        コンピュータにインストールされているものによっては、Microsoft iSCSI イニシエータのサブキーが 0000 ではない場合があります。次の例で示すように、DriverDesc という文字列の値が Microsoft iSCSI Initiator であることを調べることによって、正しいサブキーを選択したことを確認できます。

        Windows レジストリエディタ。Driverdesc 文字列に [Microsoft iSCSI Initiator] 値が表示されています。
      4. [Parameters] サブキーを選択して iSCSI 設定を表示します。

      5. DWORD (32 ビット) MaxRequestHoldTime 値のコンテキスト (右クリック) メニューを開き、 の変更を選択し、値を に変更します600

        MaxRequestHoldTime は、Microsoft iSCSI イニシエータが未処理のコマンドを保持および再試行する秒数を指定し、その後にDevice Removalイベントの上部に通知します。この値は、次の例に示すように、600 秒の保持時間を表します。

        Windows レジストリエディタ。[MaxRequestHoldTime] に 600 の DWORD 値が表示されています。
    2. 以下のパラメータを変更して、iSCSI パケットで送信できるデータの最大量を増やすことができます。

      • FirstBurstLength は、未承諾の書き込みリクエストで送信できるデータの最大量を制御します。この値を 262144、または Windows OS のデフォルト値のいずれか大きい方に設定します。

      • MaxBurstLength は に似ていますがFirstBurstLength、要求された書き込みシーケンスで送信できるデータの最大量を設定します。この値を 1048576、または Windows OS のデフォルト値のいずれか大きい方に設定します。

      • MaxRecvDataSegmentLength は、シングルプロトコルデータユニット (PDU) に関連付けられているデータセグメントの最大サイズを制御します。この値を 262144、または Windows OS のデフォルト値のいずれか大きい方に設定します。

      Windows レジストリエディタ。iSCSI パケット長の DWORD 値が強調表示されています。
      注記

      さまざまなバックアップソフトウェアをさまざまな iSCSI 設定を使用して最適化できます。これらのパラメータのどの値により最高のパフォーマンスが得られるかを確認するには、バックアップソフトウェアのドキュメントを参照してください。

    3. 次に示すように、ディスクタイムアウトの値を大きくします。

      1. レジストリエディタ (Regedit.exe) をまだ起動していない場合は、起動します。

      2. CurrentControlSetに示すように、 の「サービス」サブキーの「ディスク」サブキーに移動します。

        HKEY_Local_Machine\SYSTEM\CurrentControlSet\Services\Disk
      3. DWORD (32 ビット) TimeOutValue 値のコンテキスト (右クリック) メニューを開き、 の変更を選択し、値を に変更します600

        TimeOutValue は、iSCSI イニシエータが接続を削除して再確立することでセッション回復を試みるまでに、ターゲットからの応答を待機する秒数を指定します。この値は、次の例に示すように、600 秒のタイムアウト期間を表します。

        Windows レジストリエディタ。[TimeOutValue] に 600 の DWORD 値が表示されています。
    4. 新しい設定値を有効にするために、システムを再起動します。

      再起動する前に、ボリュームへのすべての書き込みオペレーションの結果がフラッシュされていることを確認する必要があります。そのためには、再起動の前に、マッピングされたすべてのストレージボリュームのディスクをオフラインにします。

    Linux iSCSI 設定のカスタマイズ

    イニシエータを設定した後は、イニシエータがターゲットから切断されないように iSCSI の設定をカスタマイズすることを強くお勧めします。次に示すように、iSCSI タイムアウトの値を増やすと、アプリケーションが、長時間を要する書き込みオペレーションやネットワークの中断などの一時的な問題に適切に対処できるようになります。

    注記

    コマンドは、Linux のタイプごとにわずかに異なる場合があります。次の例は、Red Hat Linux に基づいています。

    Linux iSCSI の設定をカスタマイズするには
    1. リクエストをキューに保持する最大時間を長くします。

      1. /etc/iscsi/iscsid.conf ファイルを開き、次の行を探します。

        node.session.timeo.replacement_timeout = [replacement_timeout_value] node.conn[0].timeo.noop_out_interval = [noop_out_interval_value] node.conn[0].timeo.noop_out_timeout = [noop_out_timeout_value]
      2. [replacement_timeout_value] の値を 600 に設定します。

        [noop_out_interval_value] の値を 60 に設定します。

        [noop_out_timeout_value] の値を 600 に設定します。

        これら 3 つの値の単位はすべて秒です。

        注記

        ゲートウェイを検出する前に、iscsid.conf を設定する必要があります。既にゲートウェイを検出している場合や、ターゲットにログインしている場合、またはその両方が該当する場合は、次のコマンドを使用して検出データベースからエントリを削除できます。その後、再検出または再ログインを行って、新しい設定を取得できます。

        iscsiadm -m discoverydb -t sendtargets -p [GATEWAY_IP]:3260 -o delete
    2. 各レスポンスで送信できるデータ量の最大値を増やします。

      1. /etc/iscsi/iscsid.conf ファイルを開き、次の行を探します。

        node.session.iscsi.FirstBurstLength = [replacement_first_burst_length_value] node.session.iscsi.MaxBurstLength = [replacement_max_burst_length_value] node.conn[0].iscsi.MaxRecvDataSegmentLength = [replacement_segment_length_value]
      2. パフォーマンスを向上させるには、以下の値をお勧めします。バックアップソフトウェアは異なる値を使用するように最適化されている場合もあるため、最良の結果を得るにはバックアップソフトウェアのドキュメントを参照してください。

        [replacement_first_burst_length_value] の値を 262144、または Linux OS のデフォルト値のいずれか大きい方に設定します。

        [replacement_max_burst_length_value] の値を 1048576、または Linux OS のデフォルトのいずれか大きい方に設定します。

        [replacement_segment_length_value] の値を 262144、または Linux OS のデフォルト値のいずれか大きい方に設定します。

        注記

        さまざまなバックアップソフトウェアをさまざまな iSCSI 設定を使用して最適化できます。これらのパラメータのどの値により最高のパフォーマンスが得られるかを確認するには、バックアップソフトウェアのドキュメントを参照してください。

    3. システムを再起動して、新しい設定値を有効にします。

      再起動する前に、テープへのすべての書き込みオペレーションの結果がフラッシュされていることを確認します。これを行うには、再起動の前に、テープをアンマウントします。

    ボリュームゲートウェイの Linux ディスクタイムアウト設定のカスタマイズ

    ボリュームゲートウェイを使用している場合は、前のセクションで説明した iSCSI 設定に加えて、次の Linux ディスクタイムアウト設定をカスタマイズできます。

    Linux ディスクタイムアウト設定をカスタマイズするには
    1. ルールファイルのディスクタイムアウトの値を大きくします。

      1. RHEL 5 イニシエータを使用している場合は、/etc/udev/rules.d/50-udev.rules ファイルを開き、次の行を見つけます。

        ACTION=="add", SUBSYSTEM=="scsi" , SYSFS{type}=="0|7|14", \ RUN+="/bin/sh -c 'echo [timeout] > /sys$$DEVPATH/timeout'"

        このルールファイルは、RHEL 6 または 7 イニシエータにはないので、次のルールに従って作成する必要があります。

        ACTION=="add", SUBSYSTEMS=="scsi" , ATTRS{model}=="Storage Gateway", RUN+="/bin/sh -c 'echo [timeout] > /sys$$DEVPATH/timeout'"

        RHEL 6 でタイムアウトの値を変更するには、次のコマンドを使用して、上記のコード行を追加します。

        sudo vim /etc/udev/rules.d/50-udev.rules

        RHEL 7 でタイムアウトの値を変更するには、次のコマンドを使用して、上記のコード行を追加します。

        sudo su -c "echo 600 > /sys/block/[device name]/device/timeout"
      2. [timeout] (タイムアウト) の値を 600 に設定します。

        この値は、タイムアウト値が 600 秒であることを表します。

    2. システムを再起動して、新しい設定値を有効にします。

      再起動する前に、ボリュームへのすべての書き込みオペレーションの結果がフラッシュされていることを確認します。そのためには、再起動の前に、ストレージボリュームをアンマウントします。

    3. 次のコマンドを使用して設定をテストできます。

      udevadm test [PATH_TO_ISCSI_DEVICE]

      このコマンドは、iSCSI デバイスに適用される udev ルールを表示します。

    iSCSI ターゲットの CHAP 認証の設定

    Storage Gateway は、Challenge-Handshake Authentication Protocol (CHAP) を使用して、ゲートウェイと iSCSI イニシエータの間の認証を行うことができます。CHAP は、ボリュームと VTL デバイスターゲットへのアクセスの認証時に、iSCSI イニシエータのアイデンティティを定期的に確認することにより、プレイバック攻撃から保護します。

    注記

    CHAP 設定はオプションですが、強くお勧めします。

    CHAP を設定するには、Storage Gateway コンソールと、ターゲットへの接続に使用される iSCSI イニシエータソフトウェアの両方で、設定を行う必要があります。Storage Gateway では相互 CHAP が使用され、イニシエータがターゲットを認証するときに、ターゲットもイニシエータを認証します。

    ターゲットの相互 CHAP をセットアップするには
    1. Storage Gateway コンソールで VTL デバイスのターゲットの CHAP を設定するには」の説明に従って、Storage Gateway コンソールで CHAP を設定します。

    2. クライアントイニシエータソフトウェアで、CHAP の設定を完了します。

    Storage Gateway コンソールで VTL デバイスのターゲットの CHAP を設定するには

    この手順では、仮想テープの読み書きに使用される 2 つのシークレットキーを指定します。同じキーを、クライアントのイニシエータを設定する手順でも使用します。

    1. ナビゲーションペインで、[ Gateways] を選択します。

    2. ゲートウェイを選択し、[VTL Devices] タブを選択してすべての VTL デバイスを表示します。

    3. CHAP を設定したいデバイスを選択します。

    4. [Configure CHAP Authentication] (CHAP 認証の設定) ダイアログボックスで要求された情報を入力します。

      1. [Initiator Name] (イニシエータ名) に iSCSI イニシエータの名前を入力します。この名前は Amazon iSCSI 修飾名 (IQN) で、iqn.1997-05.com.amazon: が先頭に付加され、ターゲット名が続きます。次に例を示します。

        iqn.1997-05.com.amazon:your-tape-device-name

        イニシエータの名前は、iSCSI イニシエータソフトウェアを使用して確認できます。たとえば、Windows クライアントの場合、名前は iSCSI イニシエータの [Configuration] タブの値です。詳細については、「Windows クライアントで相互 CHAP を設定するには」を参照してください。

        注記

        イニシエータの名前を変更するには、最初に CHAP を無効にし、iSCSI イニシエータソフトウェアでイニシエータの名前を変更した後、新しい名前で CHAP を有効にします。

      2. [Secret used to Authenticate Initiator] (イニシエータ認証に使用するシークレットキー) に、要求されるシークレットキーを入力します。

        このシークレットキーは、12 文字以上、16 文字以下である必要があります。この値は、ターゲットとの CHAP に参加するためにイニシエータ (つまり、Windows クライアント) が知っている必要があるシークレットキーです。

      3. [Secret used to Authenticate Target (Mutual CHAP)] (ターゲット認証に使用するシークレットキー (相互 CHAP)) に、要求されるシークレットキーを入力します。

        このシークレットキーは、12 文字以上、16 文字以下である必要があります。この値は、イニシエータとの CHAP に参加するためにターゲットが認識している必要のあるシークレットキーです。

        注記

        ターゲットを認証するために使用されるシークレットキーは、イニシエータを認証するためのシークレットキーとは異なるものである必要があります。

      4. [保存] を選択します。

    5. [VTL Devices] タブで、iSCSI CHAP Authentication のフィールドが [true] に設定されていることを確認します。

    Windows クライアントで相互 CHAP を設定するには

    この手順では、コンソールでボリュームの CHAP を設定するために使用したキーを使用して、Microsoft iSCSI イニシエータで CHAP を設定します。

    1. iSCSI イニシエータがまだ起動されていない場合は、Windows クライアントコンピュータの [Start] (スタート) メニューで [Run] (実行) に「iscsicpl.exe」と入力し、[OK] をクリックして、プログラムを実行します。

    2. イニシエータ (つまり、Windows クライアント) の相互 CHAP を設定します。

      1. [設定] タブを選択します。

        注記

        [Initiator Name] の値は、イニシエータおよび会社に固有の値です。前に示した名前は、Storage Gateway コンソールの [Configure CHAP Authentication] (CHAP 認証の設定) ダイアログボックスで使用した値です。

        例の画像で表示されている名前は、デモンストレーション用です。

      2. [CHAP] を選択します。

      3. [iSCSI Initiator Mutual Chap Secret] (iSCSI イニシエータ相互 CHAP シークレットキー) ダイアログボックスで、相互 CHAP のシークレットキー値を入力します。

        [iSCSI イニシエーターの相互 CHAP シークレット] ダイアログ。入力された文字が隠されています。

        このダイアログボックスには、イニシエータ (Windows クライアント) がターゲット (ストレージボリューム) を認証するために使用するシークレットキーを入力します。このシークレットキーを使用すると、ターゲットはイニシエータに対する読み書きを実行できます。このシークレットキーは、[Configure CHAP Authentication] (CHAP 認証の設定) ダイアログボックス内の [Secret used to Authenticate Target (Mutual CHAP)] (ターゲット認証に使用するシークレットキー (相互 CHAP)) に入力したシークレットキーと同じです。詳細については、「iSCSI ターゲットの CHAP 認証の設定」を参照してください。

      4. 入力したキーが 12 文字に達していない場合、または 16 文字を超えている場合、[Initiator CHAP secret] (イニシエータ CHAP シークレットキー) エラーダイアログボックスが表示されます。

        [OK] をクリックし、もう一度キーを入力します。

        [iSCSI イニシエーターの相互 CHAP シークレット] ダイアログ。シークレットが 96 ビット未満であるという警告メッセージが表示されています。
    3. イニシエータのシークレットでターゲットを設定して、相互 CHAP の構成を完了します。

      1. [Targets] タブを選択します。

        [iSCSI イニシエーターのプロパティ] の [ターゲット] タブ。検出されたターゲットのリストが表示されています。
      2. CHAP の対象として設定するターゲットが現在接続されている場合は、ターゲットを選択してから [Disconnect] をクリックして、ターゲットを切断します。

      3. CHAP の対象として設定するターゲットを選択し、[Connect] を選択します。

        [ターゲット] タブ。ターゲットが選択され、[接続] ボタンが強調表示されています。
      4. [Connect to Target] ダイアログボックスで [Advanced] を選択します。

        [ターゲットへの接続] ダイアログ。[詳細設定] ボタンが強調表示されています。
      5. [Advanced Settings] ダイアログボックスで CHAP を設定します。

        1. [CHAP ログオンを有効にする] を選択します。

        2. イニシエータを認証するために必要なシークレットキーを入力します。このシークレットキーは、[Configure CHAP Authentication] (CHAP 認証の設定) ダイアログボックス内の [Secret used to Authenticate Initiator] (イニシエータ認証に使用するシークレットキー) に入力したシークレットキーと同じです。詳細については、「iSCSI ターゲットの CHAP 認証の設定」を参照してください。

        3. [Perform mutual authentication] を選択します。

        4. [OK] を選択して変更を適用します。

      6. [Connect to Target] ダイアログボックスで [OK] を選択します。

    4. 正しいシークレットキーを指定した場合、ターゲットのステータスが [Connected] と表示されます。

      [iSCSI イニシエーターのプロパティ] の [ターゲット] タブ。ターゲットが強調表示され、接続完了のステータスが表示されています。
    Red Hat Linux クライアントで相互 CHAP を設定するには

    この手順では、Storage Gateway コンソールでボリュームの CHAP を設定するために使用したものと同じキーを使用して、Linux iSCSI イニシエータで CHAP を設定します。

    1. iSCSI デーモンが実行されていて、ターゲットに既に接続されていることを確認してください。これら 2 つのタスクを完了していない場合は、「Linux クライアントへの接続」を参照してください。

    2. CHAP を設定するターゲットを切断し、既存の設定を削除します。

      1. ターゲット名を検索し、定義済みの設定であることを確認するには、次のコマンドを使用して、保存されている設定の一覧を表示します。

        sudo /sbin/iscsiadm --mode node
      2. ターゲットから切断します。

        次のコマンドは、Amazon iSCSI 修飾名 (IQN) で定義されている myvolume という名前のターゲットから切断します。必要に応じて、ターゲットの名前と IQN を変更します。

        sudo /sbin/iscsiadm --mode node --logout GATEWAY_IP:3260,1 iqn.1997-05.com.amazon:myvolume
      3. ターゲットの設定を削除します。

        次のコマンドは、myvolume ターゲットに対する設定を削除します。

        sudo /sbin/iscsiadm --mode node --op delete --targetname iqn.1997-05.com.amazon:myvolume
    3. iSCSI 設定ファイルを編集して、CHAP を有効にします。

      1. イニシエータ (つまり、使用しているクライアント) の名前を取得します。

        次のコマンドは、/etc/iscsi/initiatorname.iscsi ファイルからイニシエータの名前を取得します。

        sudo cat /etc/iscsi/initiatorname.iscsi

        このコマンドの出力は次のようになります。

        InitiatorName=iqn.1994-05.com.redhat:8e89b27b5b8

      2. /etc/iscsi/iscsid.conf ファイルを開きます。

      3. ファイルで以下の行のコメントを解除し、usernamepasswordusername_in、および password_in の正しい値を指定します。

        node.session.auth.authmethod = CHAP node.session.auth.username = username node.session.auth.password = password node.session.auth.username_in = username_in node.session.auth.password_in = password_in

        指定する値の説明については、次の表を参照してください。

        構成設定
        username

        この手順の前のステップで検出したイニシエータ名です。この値は、iqn で始まります。たとえば、iqn.1994-05.com.redhat:8e89b27b5b8 は有効な username 値です。

        password イニシエータ (使用しているクライアント) がボリュームと通信するときにイニシエータを認証するために使用されるシークレットキー。
        username_in

        ターゲットボリュームの IQN。この値は、iqn で始まり、ターゲット名で終わります。たとえば、iqn.1997-05.com.amazon:myvolume は有効な username_in 値です。

        password_in

        ターゲット (ボリューム) がイニシエータと通信するときにターゲットを認証するために使用されるシークレットキー。

      4. 設定ファイルの変更を保存して、ファイルを閉じます。

    4. ターゲットを検出して、ログインします。そのためには、「Linux クライアントへの接続」の手順に従ってください。