Microsoft SQL Serverを使ったPAM360のアプリケーションスケーリング

一般的に、スケーリングとは、アプリケーションの規模をより大きく改善するプロセスをいい、スケーラビリティとは、支障なく成長を処理するアプリケーション本来の能力をいいます。PAM360等の特権アクセスセキュリティソリューションでは、複雑さが増した状態でも、アプリケーションがノードごとの平均サービスレベルに大きな影響を与えることなく、全体的な最大パフォーマンスを提供できるように、可用性とスケーラビリティが高くすることが必須です。

Microsoft SQLサーバーを使って設計されたPAM360のアプリケーションスケーリングモデルは、PAM360に保存された特権パスワードとパスワードへのアクセスが中断されることなく、スケーラビリティとパフォーマンスが強化することを目的としています。このモデルは、すべてが1つのMS-SQLデータベースクラスタと接続された1つのメインPAM360ノードと、いくつかのサブノードで作動します。

メモ:PAM360のアプリケーションスケーリングは現在、MS-SQLデータベースクラスタのみで作動します。

  1. どのように機能するか?
  2. メインノードとサブノードを構成する手順
  3. サブノードをメインノードに変更する手順

1.どのように機能するか?

PAM360メインノードおよびすべてのサブノードは、個別に接続されている必要はないものの、同じMS-SQLクラスタに向いている必要があります。ただし、メインノード、すなわち、スケジュール設定された操作を実行するマシンには、以下の条件のいずれかが必要です:

  1. PAM360でエージェントレスパスワード管理機能が有効になっているメインノードとターゲットエンドポイントは、同じサブネット内にある必要があります。  
    (または)
  2. メインノードとターゲットエンドポイントは、別のネットワークにあるときに互いに通信できることが必要です。すなわち、ファイアウォールにブロックされたり、DMZ等の接続範囲外にあったりしてはいけません。

 PAM360のアプリケーションスケーラビリティを示すアーキテクチャ回路図

application-scaling

注記:

  1. セカンダリノードのいずれかをメインノードとして割り当てることができます。ただし、スケジュール設定された操作を妨害されずに実行するように他のマシンと適切な接続があることが条件です。
  2. 現在のモデルでは、サブノードとして最大3つのマシンを割り当てることができます。

2.メインノードとサブノードを構成する手順

同じクラスタを向いているサブノードを構成するには、下の手順に従います:

  1. PAM360メインノードにする必要があるマシンにインストールします。 
  2. SSL証明書をMS SQLクラスタ内にこれらの手順を使って構成するには、証明書をPAM360にインポートし、アプリケーションをSQLリスナーIP/ホストに向けます。これで、メインノードとして作動するPAM360アプリケーションは、Microsoft SQLクラスタを使って作動します。
  3. PAM360をサブノードにするセカンダリアプリケーションサーバーにインストールします。インストールプロセスで、インストールウィザードのプライマリサーバーを選択します。インストールが完了したら、PAM360は、デフォルトのPostgreSQLデータベースで起動します。初期起動後、PAM360 Serviceを停止します。
  4. MS SQLクラスタ証明書をコピーして、すべてのサブノードの<PAM360インストールフォルダ>\binディレクトリに貼り付けます。コマンドプロンプトを開き、コマンドimportCert.bat Your_cluster_cert.cerを実行します。このコマンドで、MS SQLクラスタ証明書がすべてのサブノードにインポートされます。
  5. pam360_key.keyファイルをメインノードからコピーし、サブノードのディレクトリに貼り付けます。次に、pam360_key.keyファイルのフルパスをすべてのサブノードの<PAM360-Home>\conf\manage_key.confファイルで更新します。キーがリモートディレクトリに保存されている場合は、manage_key.confファイルにリモート場所のフルパスを入れます。
  6. すべてのサブノードのサービスコンソール(services.msc)を開き、PAM360 Serviceのサービスアカウントを更新します。このサービスアカウントにMS SQLクラスタに接続し、pam360_key.keyファイルを読み取るのに必要な権限があることを確認します。
  7. すべてのサブノードでコマンドプロンプトを管理者として拓き、<PAM360インストールフォルダ>\binディレクトリに移動して、コマンドChangeDB.batを実行します。DB変更構成ウィザードで、SQLサーバーをバックエンドとして選択し、MS SQLクラスタホスト名を形式SERVER:portで入力します。例. CLUSTER01:5432。ポート番号がこの形式で指定されている場合、インスタンス名フィールドは空にすることができます。クラスタがダイナミックポートを使用している場合、正しいホスト名とインスタンス名を個別に入力します。メインノードが作動するのに使う正しいSQLデータベース名を入力し、Windowsを認証オプションとして選択します。このオプションが作動するには、コマンドプロンプトがSQLデータベースにアクセスするアカウントで実行されている必要がありますので、注意してください。[テスト]をクリックし、正常に完了したら、[保存]をクリックして、変更を保存します。
  8. サブノードのパス<PAM360_installation_directory>\conf\にあるsystem_properties.confという名前のファイルを管理者権限でWordpadを使って編集します。ファイルの終わりに行ignore.scheduler=trueを追加して、保存します。
  9. 次に、PAM360 Serviceをすべてのサブノードで起動します。前の手順の結果、すべてのサブノードが同じMS SQLクラスタをバックエンドデータベースとして使って起動します。
  10. サブノードのデフォルトURLは、https://subnode_servername:8282のようになります。すべてのサブノードでライセンスファイルを適用するには、すべてのサブノードのURLをWebブラウザで開いてログインします。右端上にあるプロファイルアイコンをクリックし、ライセンスオプションをクリックします。ここで、ライセンスのXMLファイルを追加してアップグレードします。
  11. [管理者] >> [構成] >> [PAM360サーバー]の順に移動し、正しいパスワードでSSL証明書を更新します。必要な場合、ポートを8282から443に変更し、設定を保存します。
  12. PAM360 Serviceをすべてのサブノードで再起動します。これで、すべてのサブノードが、正しいSSL証明書ではじまり、同じMS SQLクラスタバックエンドを使用することになります。

2.1 構成したノードをPAM360で表示する手順

メインノードとサブノードが構成されたら、下の手順にしたがって、PAM360インターフェイスから表示します。

  1. [管理者] >> [構成] >> [アプリケーションスケーリング]の順に移動します。.
  2. ここで、トグルボタンを使って、サブノードを有効化または無効化します。変更を有効にするには、メインノードを再起動し、変更が有効になるにはサブノードを廃止する必要があります。
    application-scaling

3.サブノードをメインノードに変更する手順

下の手順にしたがって、セカンダリノードをメインノードに変更します。この変更は、サブノードのいずれかから、いずれかの時点で実行できます。

  1. MS-SQLデータベースは実行したままにします。
  2. メインノードを含むサーバー内のすべてのアプリケーションサーバーを停止します。
  3. コマンドプロンプトを開き、以下のコマンドを実行します:

    4. Windowsの場合:
    <PAM360_installation_directory>\bin\makePrimary.bat

    Linuxの場合:
    <PAM360_installation_directory>/bin/sh makePrimary.sh

  4. 現在のメインノードと利用可能なサーバーのリストが表示されます。PAM360アプリケーションサーバーをドロップダウンから選択して、[保存]をクリックします。
    application-scaling
  5. 以前停止したすべてのアプリケーションサーバーを再起動します。
  6. これで選択したサーバーがメインノードとして割り当てられます。

4.ノードの名前を変更する手順

  1. [管理者] >> [構成] >> [アプリケーションスケーリング]の順に移動します。.
  2. アプリケーションスケーリングダッシュボードから、必要なノードの横の[編集]アイコンをクリックします。
  3. 表示されるポップアップで、名前を入力して「確認」をクリックします。
  4. ノードの名前が正常に変更されました。

注記:カスタムロールに「アプリケーションスケーリング」権限がある管理者とユーザーのみ、'メインノードとして機能するサーバーからサブノードを有効化/無効化、削除、および復元できます。また、メインのードのみからもできます。

5.サブノードを有効化/無効化する手順

  1. [管理者] >> [構成] >> [アプリケーションスケーリング]の順に移動します。.
  2. アプリケーションスケーリングアッシュボードから、各サブのードの横にあるトグルを有効化/無効化して、サブノードを有効または無効にします。

6.サブノードを削除および復元する手順

  1. [管理者] >> [構成] >> [アプリケーションスケーリング]の順に移動します。.
  2. サブノードを削除するには、
    1. 初めに、トグルを使って、サブノードを無効にします。
    2. サブノードの右端上にある[削除]アイコンをクリックします。表示されるポップアップで、[確認]をクリックします。
    3. サブノードが正常に削除されました。

    注記:サーバーを削除すると、ダッシュボードからサブノードが非表示になるだけで、データベースから対応するエントリは削除されないことに注意してください。物理サーバーとサーバー別構成を削除し、PAM360全体からサーバーを削除します。

  3. サブノードを復元するには、
    1. UIの[無効化したノードを復元]をクリックします。
    2. 次に、必要なサブノードを選択し、[復元]をクリックします。
    3. 選択したサブノードが正常に復元されました。
    4. 次に、PAM360 Serviceを復元したサブノードで起動します()。

7.ノード監査トレイル

PAM360には、デフォルトでは、リソース、ユーザー、およびタスクベース監査に個別セクションがあります。また、本製品に、メインのードと各サブノードのスケーリングノード別監査が、アプリケーションスケーリングが有効になっているとき、リソース監査とユーザー監査の完全監査トレイルとあわせて個別列で表示されます。監査についての詳細は、ここをクリックしてください。

application-scaling

Microsoft SQLクラスタのセットアップ方法についての詳細は、ここをクリックしてください。