enStratus日本語解説[2]:初期環境設定
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
enStratusは、エンタープライズ向けのクラウド管理ツールであるだけに、様々なリッチな機能を提供しています。但し、そのような機能を利用するためには、それに相応しい初期環境設定が必要です。今回は、そのなかでも予算コード設定やユーザ管理など必須的な環境設定を解説します。
ちなみに、enStratusにサインインした直後では、システム操作のために必要な最低限のデフォルトの設定が行われているだけの状態です。
[Topics]
・予算
・ロール
・グループ
・ユーザ
・ネットワーク
1.予算設定(Budget)
http://docs.enstratus.com/budget/budget.html
1.1.予算とは
予算とは、enStratusのなかで適用するクラウドリソースの使用枠(金額)です。予算は、ソフトクォータ(soft quota)とハードクォータ(hard quota)の2段階に分かれています。
・soft quota(警告レベル)
1ヶ月以内でグループの総クラウドリソース使用金額がソフトクォータに達すると警告を行います。但し、この段階では追加のリソースの獲得は可能です。
・hard quota(制限レベル)
1ヶ月以内でグループの総クラウドリソース使用金額がハードクォータに達すると警告を行うと同時に、新しいリソースが開始できなくなります。但し、稼動中のリソースを中止したりはしません。
予算は、アカウント(部門)やグループ、ユーザとは独立しています。つまり、他アカウントに属するユーザ間でも予算を共有することができます。なお、一人のユーザが複数の予算を持つことも可能です。
1.2.予算コードの作成
・予算コードの作成
[enStratus]→[会社設定] →[予算]→[+予算コードの追加]をクリックして下さい。
| 名前 | My Budget1。予算コードの名称を定義する |
| 財部コード | BUDG1。財部コード(予算コード)。18文字以内の英数字で任意のコードを定義する |
| ソフトクォータ | 財部コードを使って実行しているリソースの全体の使用金額がソフトクォータに到達するとユーザに警告のメールを送る。但し、追加のリソースの獲得は可能である |
| ハードクォータ | 財部コードを使って実行しているリソースの全体の使用金額がハードクォータに到達すると、ユーザに警告のメールを送ると同時に、それ以上新しいリソース取得が出来なくなる。但し、稼動中のリソースを強制終了したりはしない |
1.3.予算一覧
作成した予算一覧を確認してみましょう。
| 実行レート(Run Rate) | 同予算コードを使っているすべてのインフラストラクチャーの時間当たりのコスト |
| 現在の使用状況(Current Usage) | 予算コードに対して計上されている当月の現在までのコスト集計。例えば、現在が10日であれば、金額は1/3位になっているかもしれない |
| 予測利用状況(Project Usage) | 現在の実行レートに基づいて計算した月間の予測コスト |
| 予算フラグ(Budget) | GREEN:ソフトクォータを越えていない YELLOW:ソフトクェータを越えている RED:ハードクェータを越えている |
予算は、[会社設定]→[会社プロファイル]で地域通貨(円)にすることができます。
1.4.予算の変更
予算の変更は、[予算一覧]→[アクション]→[編集]から行います。
1.5.予算編成・執行について
予算編成・執行は、基本的にenStratusを導入するカスタマー側のポリシーに依存します。例えば、部門別やプロジェクトなど、使用状況に応じて適用できます。
2. ロール(Role)の設定
http://docs.enstratus.com/users/users.html
2.1.ロールとは
ロールとは、ユーザがenStratusのコンソール、あるいはAPIでどのような操作が出来るかを制限するものであり、enStratusの様々なリソースへのアクセス権限を束ねる単位です。
enStratusでロールの付与は、ユーザを束ねる単位であるグループに対して与えます。ロールとグループの関係は1対1です。そしてグループのなかのユーザは、グループに付与しているロールを継承します。
enStratusのアカウントを取得した直後では、デフォルトのAdminロールが1つ存在しています。
2.2.ロールの構成
ロールは、「RESOURCE/ACTION/QUALIFIER」の3の要素で構成されています。
・RESOURCE
enStratusのコンソールのなかの各ページ、リンクそしてアクションは、少なくとも1つのリソースによって制御されます。大部分の場合、リソースはコンソールの各ページと一致します。例えば、[計算(compute)]→[サーバ]、[計算(compute)]→[マシンイメージ]のようなサブメニューは、それぞれ「サーバリソース」、「イメージリソース」です。
enStratusでリソースは、次のように多様な種類があります。
・ACTION
アクションは、リソース毎の具体的な行為を意味しています。ロールを構成するときは、リソースを選んで、そのリソースに対してやってもらいたいことを関連付けます。例えば、リソースのなかのすべてのアクションが使えるようにしたい場合は「ANY」を選びます。
・QUALIFIER
クオリファイヤーは、サーバやマシンのようなリソースのオーナシップを誰が持つのかを指定するものです。クオリファイヤーは、「ANY, GROUP, THIS GROUP, BILLING、MINE 」の5つで構成されています。
以下では、実際にロールを作成してみます。
2.3.Adminロールの作成
ここでは、Adminロールを1つ追加してみます。Adminロールは、enStratusコンソールに対するすべての権限を持つロールの例です。
・ロール名の作成
[enStratusコンソール]→[ユーザ]→[ロール]→[+ロールの追加]をクリックし、ロール名を作成します。
・アクセス権限の設定
MyAdminロールから[アクション]→[アクセス権]をクリックし、権限を追加します。
Access Right:
ANY - ANY - ANY
2.4.CloudManagerロールの作成
CloudManagerは、enStratusのクラウドインフラ及びリソースに対するすべての権限を持つロールの例です。但し、「会社設定、アカウント設定、ユーザ設定、財務設定」にアクセスする権限は持っていません。
・ロール名の作成
[enStratusコンソール]→[ユーザ]→[ロール]→[+ロールの追加]でロール名を作成します。
・アクセス権限の設定
MyCloudManagerロールから[アクション]→[アクセス権]をクリックし、権限を追加します。
Access Rights:
CONSOLE - Access - ANY
DISTRIBUTION - ANY - ANY
DNS - ANY - ANY
FILES - ANY - ANY
FIREWALL - ANY - ANY
IMAGE - ANY - ANY
IP - ANY - ANY
KVDB - ANY - ANY
LB - ANY - ANY
NETWORK - ANY - ANY
RDBMS - ANY - ANY
SCRIPT - ANY - ANY
SERVER - ANY - ANY
SNAPSHOT - ANY - ANY
SUBNET - ANY - ANY
TOPIC - ANY - ANY
VOLUME - ANY - ANY
VPN - ANY - ANY
2.5. Configurator(ResourceManamger)ロールの作成
Configurator(ResourceManger)は、enStratusクラウド管理フラットフォームの財務的な側面を管理するためのロールの例です。
・ロール名の作成
[enStratusコンソール]→[ユーザ]→[ロール]→[+ロールの追加]をクリックし、ロール名を作成します。
・アクセス権限の作成
MyCoufiguratorロールから[アクション]→[アクセス権]をクリックし、権限を追加します。
Access Rights:
ACCOUNT - Manage Billing - ANY
ACCOUNT - View Invoices - ANY
COMPANY - View Billing - ANY
CONSOLE - Access - ANY
CONSOLE - Edit Bliiling - ANY
CONSOLE - Manage Users - ANY
CONSOLE - View Invoices - ANY
FINANCE - Any- ANY
USER - ANY - ANY
3.グループ(Group)
http://docs.enstratus.com/users/users.html
3.1.グループとは
enStratusのなかでクループは、ユーザを束ねる単位であり、ロールとは1対1の関係です。
3.2.Adminグループの作成
・グループ名の作成
[enStratusコンソール]→[ユーザ]→[グループ]→[+ユーザグループの追加]をクリックしてグループ名を作成します。
・ロールの設定
MyAdminグループから[アクション]→[ロールの設定]をクリックし、ロールを設定します。
3.3.CloudManagerグループの作成
・グループ名の作成
[enStratusコンソール]→[ユーザ]→[グループ]→[+ユーザグループの追加]をクリックし、グループ名を作成します。
・ロールの設定
MyCloudManagerグループから[アクション]→[ロールの設定]をクリックし、ロールを設定します。
3.4.Configuratorグループの作成
・グループ名の作成
[enStratusコンソール]→[ユーザ]→[グループ]→[+ユーザグループの追加]をクリックし、グループ名を作成します。
・ロールの設定
My Configuratorグループから[アクション]→[ロールの設定]をクリックし、ロールを設定します。
4. ユーザ(User)
4.1.ユーザとは
enStratusでユーザは、必ず1つ以上のグループ所属し、1つ以上の予算を持ち、ロールの制限の下でenStratusコンソール及びクラウドリソース(例えば、サーバやネットワーク、ストレージ)を使う当事者です。
はじめてenStratusのアカウントを取得し、ログインした時のユーザはデフォルトユーザです。デフォルトユーザのIDとセキュリティ証明書は、enStratusのアカウントを取得時に入力したメールアドレスとパスワードです。
デフォルトユーザは、enStratusが提供するデフォルトのAdminXXXグループに所属しています。そしてenStratusの全権限を持つデフォルトのAdminXXXロールを持ち、デフォルトの予算コードを持っています。
4.2.ユーザの作成
[enStratusコンソール]→[ユーザ管理]→[ユーザ]をクリックし、 ユーザを作成します。
| 電子メール | メールアドレスは、enStratusのなかでユニークであること |
| グループ | MyAdmin。複数選択できる(Ctrl+クリック) |
| 予算コード | MyBudget 1 + Default。複数選択できる(Ctrl+クリック) |
| 生成されたパスワード | パスワードを生成して控えておく。原則的にユーザ登録を行ってからパスワードは変更できないので要注意(パスワードのリセットはenStratusのシステム管理者の確認が必要) |
4.3.新しいユーザでログイン
では、早速新しいユーザでログインしてみましょう。
・デフォルトユーザからログアウト
[アカウントの姓名]→[ログアウト]をクリックしてデフォルトユーザからログアウトします。
・デフォルトユーザからログアウトした直後
ログアウト直後は、デフォルトユーザのログイン画面となっています。ここで[別ユーザとしてログイン]をクリックします。
・新しいユーザのメールアドレス(ID)提出
新しいユーザのメールアドレスを入力して[次へ]をクリックします。
・新しいユーザとしてログイン
新しいのユーザのパスワードを入力して[送信]をクリックします。
・enStratusコンソールのトップページ
次のようなenStratusコンソールのトップページが表示されると新しいユーザとしてログインは成功です。
4.4.ユーザプロファイルの作成
ユーザプロファイルは、ユーザの一般情報とセキュリティ証明書を管理するページです。例えば、WindowsサーバへアクセスするためのRDPパスワードとLinuxサーバにアクセスするためのPublic SSH Keyを事前にユーザプロファイルへ登録しておきます。
・ユーザプロファイルの編集
[ユーザの姓名]→[自分のプロファイル編集]をクリックします。ユーザプロファイルは、次のように「一般情報/セキュリティ資格情報/警告の基本設定」に分かれています。
・一般情報
| SMS番号 | 国番号から指定する |
・セキュリティ資格情報
起動したサーバにログインするためには、セキュリティ資格情報の設定が必要です。
| RDBパスワード | enStratusで起動したWindowsサーバにアクセスするためのパスワード。但し、Machine ImageにenStratusのエージェントが入っている必要がある |
| SSH公開キー | enStratusで起動したLinuxサーバにアクセスするためのキー。但し、Machine ImageにenStratusのエージェントが入っている必要がある |
もし、RSAキーの作成方法が分からない読者は、とりあえず、次のURLからダウンロードして下さい。RSAキーの作成方法は、次回に解説します。
http://cl-file-server.s3.amazonaws.com/enStratus/Key/id_rsa
http://cl-file-server.s3.amazonaws.com/enStratus/Key/id_rsa.pub
・警告の基本情報
enStratusのアラートレベルを設定します。
enStratusのアラートは、クラウドアカウントで起きたイベントに関してユーザに警告します。そして警告は、通常、メールで通知し、enStratusコンソールでも閲覧できます。
| 警告しきい値 | すべてor 1-10 |
| 警告メール送信先 | 有効なメールアドレス |
| アラートレベル | 評価値 |
| 1-3 | LOW |
| 4-6 | MEDIUM |
| 7-10 | HIGH |
5.ネットワーク設定
5.1.ファイアウォール作成
新規のファイアウォールを作成してみましょう。ファイアウォールは、サーバにアクセス可能なプロトコールとポートの制限を行います。
[ネットワーク]→[ファイアウォール]→[+ファイアウォールの作成]をクリックします。
ラベル色を設定しておくと、直感的にリソースを見分けることができます。予算コードとユーザグループは、とりあえずDefault/Adminを選びます。
5.2.セキュリティルールの変更
既存のファイアウォールのセキュリティルールを変更してみましょう。
ここでデフォールトを選んで[アクション]→[ルールの編集]をクリックします。
上記のようにファイアウォールが編集できる状態であることを確認します。
そして [+ルールの更新追加]をクリックし、追加を行います。
| ソース | CIDR | 方法 | プロトコール | 開始ポート | エンドポート |
| Any | 0.0.0.0/0 | SSH | TCP | 22 | 22 |
| Any | 0.0.0.0/0 | RDP | TCP | 3389 | 3389 |
| Any | 0.0.0.0/0 | HTTP | TCP | 80 | 80 |
| Any | 0.0.0.0/0 | Ping | ICMP | -1 | -1 |
| enStratus | 209.240.80.5/32 | enStratus | TCP | 2003 | 2003 |
ここまでで、本格的なエンターフライズ向けのクラウド管理ツールであるenStratusの初期環境設定が一通り終わりました。次回では、ここまでの環境設定に基づいてサーバを起動し、ログインする方法を解説したいと思います。enStratusのサーバへのログイン方法は、よりセキュリティを強固にするため、通常の方法とは若干異なります。
