技術概要

Qumulo の独自のクラウドネイティブ アーキテクチャが、オンプレミス、エッジ、パブリック クラウドなど、あらゆるワークロードに非構造化データ サービスをどのように提供するかについて説明します。

ホワイトペーパーをダウンロードする
Qumulo ロゴマークアイコン

目次

目次

 

どこでも実行

データサービスとストレージ管理

  • システム管理
    • ウェブユーザーインターフェース
    • コマンドラインインターフェイス
    • REST API
  • クムロ・ネクサス
  • アクセス管理
    • データセキュリティ機能
      • Active Directory
      • ネットワーク経由の暗号化
  • 認証とアクセス制御
    • 管理上のセキュリティ
      • ドメインレベルの管理者ユーザー
      • ローカル管理者ユーザー
    • 多要素認証によるシングルサインオン
    • アクセストークン
    • 役割ベースのアクセス制御
  • データアクセス管理
    • アクセス制御リスト
      • Kerberos の機能強化
    • マルチプロトコル権限のサポート
      • オブジェクトのアクセス権限
    • 管理トラフィック制限

データサービス

Qumuloファイルシステム

スケーラブルブロックストア

サーバーハードウェア

このリソースをダウンロードする

ダウンロード
PDFのダウンロード
GitHub で編集

どこでも実行、どこでも拡張

Qumulo のクラウド データ ファブリックを使用すると、あらゆる環境、場所、プラットフォームでアプリケーションを簡単に拡張または統合できます。エンタープライズ、ハイブリッド クラウド、マルチクラウドのすべてのワークフローをサポートする、唯一のグローバルに統合されたプラットフォームに依存しない非構造化データ ソリューションを提供します。Qumulo のスケーラブルなファイル システムと強力な WebUI および CLI ツールにより、最も要求の厳しいワークフローに必要なデータでも、コスト効率の高いクラウド アーカイブ ストレージに必要なデータでも、データ管理が簡単になります。当社独自のクラウド ネイティブ アーキテクチャにより、プラットフォームと場所の制約から解放され、データ センター内またはクラウド内のどこからでもデータにアクセスできます。

Qumulo の目標は、現代の企業向けに、非構造化データ ストレージをシンプルかつスケーラブルでグローバルなものにすることです。データのセキュリティ保護をシンプルにします。オンプレミスでもクラウドでも、最も要求の厳しいワークフローを簡単に実行できるようにします。ハイブリッド クラウド ストレージをシンプルにします。

Qumuloのソフトウェアアーキテクチャ

当社のストレージ プラットフォームは、クラウド対応のスケーラブルなサービスとして設計されており、あらゆるファイルベースのワークフローをどこでもサポートできます。グローバルに拡張可能なプラットフォームを構築しました。また、システムとデータの使用状況を自動管理し、リアルタイムで可視化するための堅牢な API も提供しています。当社のストレージ ソリューションは、Fortune 500 企業のセキュリティとデータ保護の要件を満たしています。

このページでは、Qumulo の非構造化データ ソリューションのアーキテクチャ、コンポーネント、サービスの概要を説明します。メディアやエンターテイメントからヘルスケアやライフ サイエンス、クラウドベースの高性能コンピューティングからコスト効率の高い長期クラウド アーカイブ ストレージまで、当社の製品が幅広いユース ケースをサポートする方法を説明します。また、当社独自の Cloud Data Fabric がプラットフォーム、サイト、クラウド間で重要なデータを統合し、リモート データへのリアルタイム アクセスを実現し、広範囲に分散したチーム間のコラボレーションを効率化し、事実上あらゆる業界でビジネス開発を加速する方法も説明します。

クムロのアーキテクチャ

Qumulo のモジュール アーキテクチャは一連のレイヤーに抽象化でき、各レイヤーには特定のサービス コントロールと機能がバンドルされています。これらのレイヤーは連携して動作し、Qumulo インスタンス上の非構造化データと Qumulo システム自体のスケーラビリティ、パフォーマンス、セキュリティ、信頼性をサポートします。

Qumuloの基礎

Qumulo のアーキテクチャの個々のコンポーネントについて詳しく説明する前に、列挙しておくべき重要な基本原則がいくつかあります。

  1.  Qumulo は、単一の名前空間を提供する 100% ソフトウェア定義の分散ファイル システムを提供します。オンプレミスの Qumulo クラスターは、共有されていない独立したノードの集合で構成され、各ノードはクラスターの全体的な容量とパフォーマンスに貢献します。個々のノードは、常に互いに連携しています。どのクライアントも任意のノードに接続し、名前空間全体で読み取りと書き込みを行うことができます。
  2. クラウドベースの Qumulo インスタンスは、データ レイヤーにオブジェクト ストレージ (デプロイされている場所に応じて AWS S3 または Microsoft Azure Blob ストレージのいずれか) を使用します。このデータ レイヤーでは、特定のファイルに関連付けられたブロックが抽象化され、個別のオブジェクトの論理コレクション全体に分散されます。
    •  このクラウドネイティブ アーキテクチャは、コンピューティング、ストレージ、スループット間の従来の関係を排除し、容量を数百ペタバイトまで拡張でき、スループットを 100 GBps を超えて拡張できる、完全に弾力性のあるファイル ストレージ サービスを作成します。
    • Qumulo のクラウドネイティブ アーキテクチャによって実現されるコンピューティングとストレージの完全な分離により、お客様は、互いに独立して、必要なスループットと容量の特定のレベルを柔軟に選択できます。お客様は、最初はコンピューティング フットプリントが低い Qumulo インスタンスをデプロイし、その後、サービスのコンピューティング割り当てを一時的にスケールアップして、短期間でスループットを大幅に増加させ、その後、追加の容量をデプロイすることなく、再びスケールダウンすることもできます。
  3.  Qumulo は拡張性を考慮して設計されています。当社製品のあらゆる側面が、数十のサイト、地域、展開にわたるペタバイトからエクサバイトのデータ、数兆のファイル、数百万の操作、数千のユーザーを快適にサポートできることを保証します。
  4. Qumulo は地理的な分散を考慮して設計されており、広範囲に分散したチームがデータの破損や損失のリスクなしに共有データセットで共同作業を行うことができます。
  5. Qumulo は、パフォーマンスを最大限に高めるために自己最適化します。すべての Qumulo インスタンスは、ヒート マップを使用してデータ アクセスを追跡し、頻繁にアクセスされるデータ ブロックを特定します。これらのブロックは、内部プリフェッチ アルゴリズムによってプロアクティブに移動されます。つまり、長期保存メディア上のデータ ブロックは、ヒート スコアが増加するとフラッシュ ストレージに移動されます。ヒート スコアが上昇し続けると、フラッシュ ストレージにすでに存在するデータは、さらに高速にアクセスできるように、システム メモリにプロアクティブに移動されます。グローバル レベルでは、すべての Qumulo 顧客のすべての Qumulo インスタンスで、キャッシュ ヒット率はすべての読み取り要求の約 95% です。
  6. Qumulo は可用性が高く、厳密に一貫性があり、インフラストラクチャ内のコンポーネント障害に耐えながら、クライアントに信頼性の高いサービスを提供できるように構築されています。これは、ソフトウェア抽象化、消失訂正符号、高度なネットワーク技術、および厳格なテストを使用して実現されています。データが Qumulo のファイル システムに書き込まれると、データが永続ストレージに書き込まれるまで、書き込み操作はサービス、ユーザー、またはクライアントに対して確認されません。したがって、その後の読み取り要求は、データの一貫したビューになります (最終的に一貫性のあるモデルとは対照的です)。
  7. Qumulo は、パブリック、プライベート、ハイブリッド クラウド向けにプラットフォームに依存しないファイル サービスを提供します。 Qumulo のソフトウェアは、それが実行されるプラットフォームについてほとんど仮定を行っていません。最良のパブリックおよびプライベート クラウド インフラストラクチャを活用するために、基盤となる物理または仮想ハードウェア リソースを抽象化します。これにより、クラウド プロバイダーやコンポーネント メーカーのエコシステムによって推進されるコンピューティング、ネットワーキング、ストレージ テクノロジーの急速なイノベーションを活用できるようになります。
  8. Qumulo 管理モデルは API ファーストです。 Qumulo によって構築されるすべての機能は、最初に API エンドポイントとして開発されます。次に、これらのエンドポイントの厳選されたセットをコマンド ライン インターフェイス (CLI) とビジュアル インターフェイスである WebUI に表示します。これには、システムの作成、データ管理、パフォーマンスと容量の分析、認証、データへのアクセスが含まれます。
  9. Qumulo は新しいソフトウェアを迅速かつ定期的に出荷します。ソフトウェアの新しいバージョンを数週間ごとにリリースします。これにより、顧客のフィードバックに迅速に対応し、製品の継続的な改善を推進し、チームから製品品質のコードを要求することができます。
  10. Qumulo のコンテナベースのアーキテクチャにより、ユーザーとワークフローの中断を最小限に抑える独自のアップグレード プロセスが可能になります。ノードごとにローリングで、新しいオペレーティング ソフトウェアが古いバージョンと並列のコンテナに展開されます。新しいインスタンスが初期化されると、古い環境は正常にシャットダウンされ、クラスター全体がアップグレードされるまで、次のノードへのアップグレードが続行されます。
  11. Qumulo のカスタマー サクセス チームは、応答性、連携性、俊敏性に優れています。Qumulo は、クラウドベースの Mission Qontrol サービスを介してすべての Qumulo 展開をリモートで監視できるため、ストレージとサービスのテレメトリを受動的に追跡できます (Qumulo の顧客展開のファイル システム データを表示またはアクセスすることはできません)。当社のカスタマー サクセス チームは、そのデータを使用して、インシデントを乗り切るための顧客支援、製品の使用状況に関する洞察の提供、システムのコンポーネント障害が発生したときに顧客に警告します。このインテリジェントなサポートと迅速な製品イノベーションの組み合わせにより、業界をリードする 80 以上の NPS スコアが実現しています。

Qumuloファイルシステム

Qumulo ファイル システムに保存されるすべての非構造化データは、単一の名前空間に整理されます。この名前空間は POSIX に準拠しており、NFS3 クライアントをサポートするとともに、NFSv4.1 および SMB プロトコルで使用されるアクセス制御リスト標準もサポートします。

Qumulo は、単一の名前空間を事実上あらゆるサイズに拡張する機能、システムとデータ分析をファイル システム操作にシームレスに統合する機能、S3 と NFS や SMB などの従来のプロトコルをサポートする機能、マルチプロトコル権限を管理するための革新的なアプローチなど、いくつかの重要な機能によって際立っています。

ファイルシステム操作

Qumulo のファイル システムは、最初から、標準の NFS および SMB プロトコルを介して共有できる数兆のファイルをホストできる単一の名前空間で、エクサバイトを超える容量にシームレスに拡張できるように設計されました。さらに、ファイル システムは、ファイル システムの更新とアクションを効率的に監視し、メタデータ ベースの統計と操作を集約する機能を備えて設計されているため、リソースを大量に消費し、時間のかかるツリー ウォークに頼ることなく、リアルタイムのシステムとデータの分析が可能です。

ファイルシステムのスケーラビリティ

単一の Qumulo インスタンスは、inode の枯渇、パフォーマンスの低下、コンポーネント障害後の長い回復時間など、他のプラットフォームによくある問題が発生することなく、エクサバイトの容量と 264 ノード (約 18.4 京のファイル) まで拡張できます。

メタデータの集約

Qumulo の独自のアーキテクチャは、ファイルやディレクトリが作成または変更されると、メタデータをリアルタイムで追跡します。さまざまなメタデータ フィールドがまとめられ、仮想インデックスが作成されます。変更が発生すると、新しい集約メタデータが収集され、個々のファイルからファイル システムのルートに伝播されます。すべてのファイルおよびディレクトリ操作が記録され、結果として生じる変更はシステムの分析に即座にマージされます。ファイル システム全体で集約された結果は、Qumulo の組み込み分析エンジンによって可視化され、コストのかかるファイル データ プラットフォーム ツリー ウォークを必要とせずに実用的なデータの可視性を実現します。

スケーラブルブロックストア

Qumulo ファイル システムの下には、保護されたモジュール レイヤーがあり、数十億 (またはそれ以上) のファイルとディレクトリと、それらが保存されている物理データ メディア間のインターフェイスとして機能します。Qumulo のモジュール アーキテクチャでは、スケーラブル ブロック ストア レイヤーがこの役割を果たします。

グローバルトランザクションシステム

Qumulo は、即時の一貫性を保証する分散型のシェアード ナッシング アーキテクチャを使用しているため、サービス内のすべてのノードは、常にすべてのデータについてグローバルに一貫したビューを持っている必要があります。スケーラブル ブロック ストアは、グローバル トランザクション アプローチを活用して、書き込み操作に複数のブロックが含まれる場合、操作によって関連するすべてのブロックが書き込まれるか、まったく書き込まれないかのいずれかになるようにします。最適なパフォーマンスを実現するために、システムは並列処理と分散コンピューティングを最大化すると同時に、I/O 操作のトランザクションの一貫性も維持します。

このアプローチにより、トランザクション I/O 操作に必要なロックの量が最小限に抑えられ、Qumulo の展開を数百のノードに拡張できるようになります。

NeuralCacheとインテリジェントなプリフェッチ

Qumulo のソフトウェアには、クラスター上のデータを保護するために設計された多くの固有の機能と構成可能なコントロールが組み込まれています。

  1.  データ セット内で最も頻繁に読み取られるすべてのメタデータは、ストレージ インスタンスのフラッシュ層に永続的に存在します。
  2. 頻繁に読み取られる仮想ブロック(独自の「ヒート インデックス」で測定)はフラッシュに保存され、頻繁に読み取られない仮想ブロックは、より冷たいメディア、つまりシステムの HDD 層(使用可能な場合)に移動されます。
  3. データの読み取り中、Qumulo インスタンスはクライアントの動作を監視し、アクセス時間を短縮するためにクライアントに最も近いノード上のシステム メモリに新しいデータをインテリジェントにプリフェッチします。

物理的なQumuloの展開(クラスター)

物理 Qumulo クラスターでは、スケーラブル ブロック ストアは、ファイル システムと基盤となるストレージ メディア (ソリッド ステート フラッシュ デバイス (SSD) またはハード ディスク ドライブ (HDD)) 間のインターフェイスとして機能します。このレイヤーの主な役割は、物理クラスター内のすべてのノード間でデータの一貫性を保証し、読み取り要求と書き込み要求の両方で最適なパフォーマンスを確保し、データのセキュリティ、整合性、およびコンポーネント障害に対する回復力を提供することです。

保護された仮想ブロック

Qumulo 物理クラスターのストレージ容量は、概念的には保護された仮想アドレス空間に編成されます。その空間内の各アドレスには、ハードウェア障害で失われたデータ ブロックを再構築するために使用できる 4K のデータ ブロックまたは 4K の消去コーディング ハッシュが格納されます。データ ブロックと消去コーディング ブロックの比率は、物理クラスターのサイズによって決まります。ノードが追加されると、比率が調整され、ディスクとノードの両方の障害から保護しながら、全体的な効率が向上します。

イレイジャー コーディングによる保護に加えて、仮想ブロック システムには、ディスク上のデータ破損を防ぐためのビットロット検出アルゴリズムも含まれています。

クラウドベースのQumuloインスタンス

Azure にデプロイされた Qumulo インスタンスの場合、ディスク上の暗号化、消去コーディング、ビットロット検出、ブロック管理など、スケーラブル ブロック ストレージ レイヤーによってオンプレミスで提供される機能の多くは、基盤となる Azure のコア機能として提供されます。 BLOB ストレージ サービス。

保存時の暗号化

物理 Qumulo クラスターでは、Scalable Block Store には、すべてのファイル システム データをデータ層に書き込む前に暗号化する AES 256 ビット ソフトウェア ベースのアルゴリズムが含まれています。このアルゴリズムは、初期クラスター構築プロセスの一部として初期化され、クラスターの存続期間全体にわたって、すべてのファイル システム データとメタデータをブロック レベルで網羅します。

クラウド内の Qumulo クラスターは、クラウド サービス プロバイダーによって実装および管理されている、基盤となるオブジェクト ストレージ レイヤーでのブロック レベルの暗号化に依存しています。これにより、Qumulo クラウドベースのインスタンス上のすべての保存データが完全に暗号化されます。

必要とする企業向けに、すべての物理クラスターで使用される組み込みの Qumulo 暗号化アルゴリズムは、Azure と AWS オブジェクト ストレージの両方で提供される暗号化サービスと同様に、FIPS 140-2 標準に準拠しています。

データサービス

Data Services レイヤーには、スナップショット、レプリケーション、クォータ、アクセスのログ記録と監査、およびシステムとデータの分析という 5 つの管理機能が含まれています。

スナップショット

Qumulo クラスター上のスナップショットは、クラスターのデータを保護するためにいくつかの方法で使用できます。

  •  これらをローカルで使用すると、迅速かつ効率的なデータの保護と回復が可能になります。
  • 1 つの Qumulo クラスター上のライブ データのスナップショットは、Azure ネイティブ Qumulo コールド サービス インスタンスなどのセカンダリ Qumulo インスタンスにレプリケートでき、プライマリ ロケーションでシステムの停止が発生した場合のファイル データ サービスの即時フェールオーバーをサポートできます。 。
  • Qumulo スナップショットをサードパーティのバックアップ ソフトウェアと組み合わせて、データ損失に対する効果的な長期保護 (変更されたファイルに対するより堅牢なバージョン管理) を提供することもできます。
スナップショットは、固定スケジュールに従って、または必要に応じてオンデマンドで、いつでも取得できます。各スナップショットには、ファイル システム内のすべての情報 (ファイル データ、ディレクトリ エントリ、作成および変更時刻、権限など) が保存されます。スナップショットは、取得後、最初はスペースを消費しません。時間の経過とともにスナップショット内のファイルが変更されると、新しいデータが元のバージョンと一緒に書き込まれ、同じファイルの各バージョンを識別する新しいエントリがファイル システムに書き込まれます。

スナップショットのロック

ランサムウェア攻撃や、侵害された管理者アカウントによる重要なスナップショットの早期削除に対する保護を強化するために、スナップショットを暗号的に「ロック」し、管理ユーザーであってもスナップショットの変更や早期削除を防ぐことができます。

ロックされたスナップショットを使用するには、非対称暗号化キーのペアが必要です。公開キーは Qumulo インスタンスに直接インストールされ、秘密キーは組織独自の確立されたキー管理慣行に従って外部に保存されます。

割り当て量

クォータを使用すると、ユーザーは Qumulo 名前空間のサブセットの増加を制御できます。クォータはディレクトリのサイズに対する独立した制限として機能し、容量制限に達した場合のデータの増加を防ぎます。他のプラットフォームやサービスとは異なり、Qumulo クォータは即座に有効になるため、管理者はリアルタイムの容量分析を通じて不正なワークロードを特定し、容量の暴走を即座に停止できます。クォータは、ディレクトリが移動または名前変更されるときに、カバーされる名前空間の部分にも従属します。

アクセスログと監査

監査ログは、Qumulo ファイルシステムのイベントと管理操作を追跡するためのメカニズムを提供します。接続されたクライアントがクラスターにリクエストを発行すると、イベント ログ メッセージに試行された各操作が記述されます。これらのログ メッセージは、ネットワーク経由で、たとえば Splunk などの業界標準のセキュリティ情報およびイベント管理 (SIEM) プラットフォームなどの指定されたリモート syslog インスタンスに送信されます。

リアルタイムの侵入とランサムウェアの検出

Qumulo は、サードパーティ プロバイダーである Superna および Varonis と提携して、イベント ログとアクセス ログのリアルタイム監視を可能にし、サイバー攻撃を特定して対応します。 Azure ネイティブ Qumulo ソリューションを使用した Varonis の詳細については、当社の Web サイトをご覧ください。 Varonis と ANQ の統合 ページ。 Superna Ransomware Defender に関する情報が入手可能です こちら.

Replication

Qumulo の組み込みレプリケーション サービスは、任意の 2 つの Qumulo ストレージ インスタンス間でデータを大規模にコピーできます。サイバー攻撃からデータを保護するだけでなく、別の Qumulo クラスターを備えたセカンダリ ロケーションは、サイト レベルの停止が発生した場合にフェイルオーバー ストレージとしても機能します。

すべての Qumulo インスタンスは同じレプリケーション機能をサポートし、場所に関係なく同じサービスを提供するため、オンプレミス、AWS、Azure のいずれの 2 つの Qumulo エンドポイント間でも任意の方向にレプリケーションを実行するように構成できます。

継続的なレプリケーション

この形式のレプリケーションでは、ソース Qumulo クラスターのデータのスナップショットを取得し、それをターゲット クラスターのディレクトリにコピーするだけです。レプリケーション関係がアクティブである限り、システムは変更されたファイルをスキャンして特定の変更のみを識別し、ターゲットにコピーして、データの以前のバージョンを上書きします。

スナップショットベースのレプリケーション

スナップショットベースのレプリケーションでは、セカンダリ クラスター上のターゲット ディレクトリのスナップショットも作成されます。レプリケーション ジョブが完了すると、ターゲット ディレクトリの新しいスナップショットが作成され、両方のクラスター間でデータの一貫性が確保されるとともに、ターゲット上の各ファイルの変更ログとバージョン履歴も維持されます。

システムおよびデータ分析

Qumulo のソフトウェア スタックは、すべての Qumulo インスタンスで、容量やパフォーマンスなどのシステムとサービスのメトリクスに対するリアルタイムの洞察を提供するように設計されています。これにより、顧客はアプリケーションのトラブルシューティング、容量消費の管理、拡張 (またはアーカイブ) 戦略の計画が可能になります。 Qumulo の分析は、ファイル システム全体でメタデータの変更が発生したときにそれを集約することで強化されています。

Web インターフェイスには、システム パフォーマンス、容量使用率、ローカル Qumulo インスタンス上の現在のアクティビティを追跡するためのリアルタイム監視ツールが含まれています。この情報を外部監視ソリューションにエクスポートしたい企業のために、Qumulo は syslog データのエクスポートとコンパイルのための OpenMetrics API 標準をサポートしています。

インスタンスとデータサービスの管理

業界標準のファイル データ ストレージ サービスである Qumulo は、SMB、NFS、NFSv4.1 など、すべての非構造化データ アクセス プロトコルをサポートしています。また、S3 プロトコル標準を使用したオブジェクト アクセスもサポートしています。Qumulo は、選択したデータ タイプへの FTP および REST API アクセスもサポートしています。

システム管理

オンプレミスかクラウドかに関係なく、Qumulo インスタンスは同じ標準ツールを使用して管理できます。つまり、インタラクティブなストレージとデータ管理用の組み込み Web ユーザー インターフェイス、CLI ベースのコマンド ライブラリ、または API ベースの一連の管理ツール。

ウェブユーザーインターフェース

Qumulo は、別の VM やサービスを必要とせずにストレージ インスタンス自体からアクセスできる、ブラウザベースの管理インターフェイスを提供します。直感的な Web UI は、ダッシュボード、分析、共有、クラスター、API とツール、サポートの 6 つのトップレベル ナビゲーション セクションを中心に構成されています。

コマンドラインインタフェース(CLI)

Qumulo CLI は、API ライブラリのほとんど (すべてではありません) をサポートし、システム管理に重点を置いています。CLI は、Qumulo インスタンスを操作するためのスクリプト可能な対話メソッドを提供します。コマンドの完全なリストは、ナレッジ ベース (care.qumulo.com) で確認できます。

REST API

REST API は、Qumulo データ プラットフォームのすべての機能のスーパーセットです。 API から、管理者は次のことができます。

  •  ネームスペースを作成する
  • システムのすべての側面を構成する(アイデンティティ サービスやシステム管理ロールなどのセキュリティから、クォータ、スナップショット ポリシー、データ レプリケーションなどのデータ管理と保護まで)
  • 対象のQumuloインスタンスに関する情報(容量使用率やパフォーマンスのホットスポットを含む)を収集します。
  • データへのアクセス(読み取りおよび書き込み操作を含む)
  • API は「自己文書化」されているため、開発者や管理者は各エンドポイントを簡単に探索できます (また、出力例を参照できます)。Qumulo は、GitHub (https://qumulo.github.io/) で API の使用例のコレクションを管理しています。
Qumulo API ライブラリ、CLI、Web 管理ポータルの使用方法の詳細については、Qumulo ドキュメント ポータル (https://docs.qumulo.com).

クムロ・ネクサス

Qumulo の顧客がマルチクラウド、マルチサイトのエンタープライズ運用に移行するにつれて、個別の管理インターフェイスを通じて各 Qumulo インスタンスの可用性とサービス メトリックを監視する複雑さを軽減する必要が生じています。Qumulo Nexus を使用すると、オンプレミス、エッジ、クラウドを問わず、すべての Qumulo インスタンスの監視操作を単一の管理ポータルに統合でき、ローカル Web インターフェイスと同じリアルタイム分析とデータ可視性が得られます。

セキュリティとアクセス管理

Qumulo のソフトウェアには、クラスター上のデータへのアクセスを保護するために設計されたいくつかの固有の機能と構成可能なコントロールが組み込まれています。

Qumuloのデータセキュリティ機能

オンプレミスかクラウドかに関係なく、すべての Qumulo インスタンスは、ファイル システム内のすべてのデータがデータ ストレージ レベルで破損、損失、または侵入から確実に保護されるようにする 1 組の制御を活用します。

Active Directoryの統合

Qumulo のセキュリティ アクセス モデルは、管理者とユーザーの両方の権利と許可に Microsoft Active Directory (AD) を活用するように設計されています。すべてのユーザー アカウントのレコード ソースを 1 つにまとめることの明らかな利点に加えて、特権と許可の管理の両方に AD を使用すると、次の業界のベスト プラクティスがサポートされます。

  •  Kerberos ベースの認証および ID 管理プロトコルとのシームレスな統合
  • SSO および MFA アクセス プロバイダーとの統合
  • SMBおよびNFSv4.1クライアントのファイルシステムデータに対するアクセス制御リストベースの権限の使用

有線データ暗号化

適切な共有およびデータレベルのセキュリティ設定を行っていても、一部の企業では、データを不正アクセスから保護するために追加のデータ セキュリティ層が必要です。これらの環境では、Qumulo はサポートされているクライアントとの間の有線データ暗号化もサポートしています。

SMB3 共有の場合、Qumulo は必要に応じてクラスター全体の暗号化と共有ごとの暗号化の両方をサポートします。強化されたセキュリティを必要とする NFSv4.1 エクスポートは、データの整合性を保証する krb5i パケット署名、または転送中の傍受を防ぐ krb5p ベースのパケット暗号化のいずれかを使用するように構成できます。

すべてのオブジェクトベースのトラフィックは、標準の TLS / HTTPS 暗号化標準を使用して自動的に暗号化されます。

認証とアクセス制御

Qumulo ファイル システム内のデータへのアクセス、および Qumulo ストレージ システムへのアクセスには、業界標準の認証およびアクセス プロトコルが使用され、エンタープライズ グレードのアクセス管理、ID 制御、および監査可能性が保証されます。

管理セキュリティ

システムレベルの権限と特権は、個々の Qumulo インスタンスの 1 つ以上のローカル グループのメンバーシップに基づいて付与されます。管理者権限は、クラスターの組み込みの管理者グループのメンバーであるすべてのローカル アカウントとドメイン アカウントに付与されます。

ドメインレベルの管理ユーザー

ほとんどのエンタープライズ セキュリティ ポリシーでは、システム アクセスと特権の使用の正確な記録を確保するために、重要なエンタープライズ システムの管理と管理が 1 ユーザー、1 アカウントのポリシーに従うことを要求しています。このポリシーに準拠する最も簡単な方法は、関連する Active Directory ユーザー アカウントをクラスターのローカル Administrators グループに追加することです。

ローカル管理ユーザー

すべての Qumulo インスタンスには、と呼ばれるデフォルトのアカウントが付属しています。 管理人これには、ローカルの Administrators グループのメンバーシップが自動的に割り当てられ、クラスターに対する完全な管理権限と特権が付与されます。

多要素認証によるシングル サインオン

シングル サインオン (SSO) により、管理者はシステムにアクセスするためにログイン資格情報を再入力する必要がなくなります。企業が SSO を必要としている理由は、SSO によってログイン プロセスが合理化され、管理者が認証しやすくなるからだけではなく、キーストローク ロガーやログイン試行がネットワークを通過する際の傍受によるアカウント盗難のリスクが軽減されるからでもあります。

多要素認証 (MFA) は、ログイン プロセスにもう 1 つのセキュリティ レイヤーを追加します。管理者ユーザーは、侵入者が所有していない別のデバイス上のキー トークンまたはチャレンジ リクエストからワンタイム コードを取得する必要があります。

Qumulo の SSO ソリューションは、Security Assertion Markup Language (SAML) 2.0 を介して Active Directory と統合されています。 MFA の場合、お客様は、OneLogin、Okta、Duo、Azure AD など、クラスターに登録されている AD ドメインと統合される任意の ID プロバイダー (IdP) を利用できます。

アクセストークン

Qumulo の API 機能による自動ストレージとデータ管理のプロセスを簡素化するために、Qumulo は、キーが取り消されるか削除されるまで自動ワークフローで無期限に使用できる長期 API トークンを生成するオプションを管理者に提供しています。トークンは管理者が CLI 経由で生成し、各 API ベースのワークフローに添付できます。これにより、ログインしなくても認証された API 呼び出しを実行できるようになります。

監査の目的で、各トークンは特定の AD またはクラスター アカウントにマップされます。関連付けられているユーザー アカウントが削除または非アクティブ化されると、アクセス トークンは機能しなくなります。

役割ベースのアクセス制御

ロールベースのアクセス制御 (RBAC) を使用すると、管理者は、特定の管理タスクのためにクラスターへの高度な権限を必要とする非管理者ユーザーまたはグループに、きめ細かな権限を割り当てることができます。RBAC モデルを使用すると、完全な管理者権限を付与しなくても、必要に応じて権限を安全に委任できます。また、企業は、アクセスと権限の使用に関する検証可能な監査証跡を確保しながら、必要なシステム権限を付与することもできます。

データアクセス管理

Qumulo は、エンタープライズ標準のプラクティス、プロトコル、ツールを使用して、システム上のすべてのファイルとディレクトリへのアクセスを管理および追跡し、ファイル システム データへのアクセスを管理するために同じセキュリティ モデルを使用します。

アクセス制御リスト

SMB および NFSv4 を介して共有されるワークロードの場合、Qumulo は、両方のプロトコル間で共有できる Active Directory および Windows スタイルのアクセス制御リスト (ACL) を介した認証をサポートします。

Kerberos の機能強化

すべての SMB および NFSv4.1 データ リクエストは、Qumulo クラスターと同じドメインに参加している (または信頼できるドメインに参加している) Windows または Linux クライアントから発信されている場合、Kerberos ベースのユーザー ID 管理を使用して認証されます。

マルチプロトコル権限のサポート

Qumulo は、ファイル システム上の同じデータを複数のプロトコルで同時に利用できるようにすることをサポートしています。多くの場合、クラスター上の SMB 共有は、NFSv3 エクスポート、NFSv4.1 エクスポート、およびオブジェクト ストレージ コンテナーとして構成することもできます。これによりクラスターの柔軟性が最大化されますが、アクセス許可の管理に関しては考慮する必要がある考慮事項がいくつかあります。

SMB と NFSv4.1 は両方とも同じ ACL ベースのアクセス許可モデルを使用します。このモデルでは、データ レベルでアクセスが構成されている XNUMX つ以上のグループにおけるユーザーの Active Directory アカウントのメンバーシップに基づいて、ユーザーへのアクセスが許可または拒否されます。

ただし、SMB/NFSv3 の混合ワークロードの場合、特定のファイルまたはディレクトリの ACL 権限と POSIX 設定が一致しないことがあります。Qumulo インスタンスは、混合モード操作用に構成できます。混合モード操作では、両方のプロトコルで共有されるファイルとディレクトリに対して、SMB 権限と POSIX 権限が個別に維持されます。

混合プロトコルのワークロードの場合、Qumulo 独自のマルチプロトコル アクセス許可 (MPP) モデルにより、NFS アクセス許可が変更された場合でも SMB ACL と継承が保持されます。

オブジェクトのアクセス権限

クラスター上のディレクトリが S3 プロトコルを介して共有されている場合、そのディレクトリは S3 バケットとして扱われ、そのディレクトリ内のすべてのサブディレクトリとファイルはバケット内のオブジェクトとして扱われます。

ユーザーまたはワークフローがオブジェクトにアクセスしようとすると、システムはクライアントから提供されたアクセス キーを使用して、キーのマップされた Active Directory またはローカル ユーザー ID を識別し、その ID をオブジェクトの SMB/NFSv4.1 アクセス制御リストと照合してチェックします。

管理トラフィック制限

Qumulo は、指定された管理アカウントの SSO および MFA ベースの認証を使用するだけでなく、個々の VLAN レベルで特定の TCP ポートをブロックする機能を提供することで、特に指定されたネットワークまたは VLAN への管理者レベルのアクセスを制限することを要求するセキュリティ ポリシーもサポートします。

この方法では、Qumulo インスタンスを構成して、管理トラフィック (API、SSH、Web UI、レプリケーション トラフィックなど) をクライアント トラフィック (SMB、NFS、オブジェクト アクセスなど) から分離することができます。

クラウド データ ファブリック

相互接続されたマルチクラウドの世界では、地理的に分散したチーム、アプリケーション、およびチームは、WAN 接続の遅延やサイト間での大規模なデータ複製にかかる長い待ち時間なしに、共有データセットで共同作業を行う機能が必要です。

Qumulo の Cloud Data Fabric (CDF) は、2 つ以上の Qumulo インスタンスにまたがって Qumulo のスケーラブルなファイル システムを拡張し、地理的に分散したチームやワークフローが単一のデータセットをリアルタイムで共有できるようにします。CDF は、オンプレミス、エッジ、クラウドの Qumulo インスタンス間で重要なデータへの低遅延アクセスを実現するだけでなく、多くの場合、共有ワークフローでの大規模なレプリケーションの必要性を完全に排除します。

CDF は、サイト、クラウド、プラットフォーム、地域をまたいで 1 つ以上の共有データセットを統合し、リアルタイムで共同作業する必要があるチーム、アプリケーション、組織がデータを利用できるようにします。CDF を使用すると、企業は WAN トラフィックを最小限に抑えながら、サイト間のデータとセキュリティの管理を簡素化できます。

グローバル名前空間

Qumulo のクラウド データ ファブリックは、データ センター、クラウド、エッジなど、あらゆる場所にある Qumulo インスタンス間で重要なデータセットを共有する、真にグローバルな名前空間を実現します。Qumulo のグローバル名前空間は、独自の革新的な機能を組み合わせて、リアルタイムのデータ可視性と共有データに関する世界的なコラボレーションを実現します。

メタデータの同期

Qumulo のグローバル名前空間実装では、特定のデータセットを共有するすべてのインスタンス間でファイルとフォルダーのデータを即時に同期するのではなく、最初に Qumulo エンドポイント間でメタデータのみを複製し、リモート クライアントがわずか数ミリ秒の遅延でリモート データセットのファイルとフォルダーの構造全体を表示できるようにします。

分散ロック

複数の場所にある任意のユーザーまたはアプリケーションによって任意のファイルが変更される可能性がある分散環境でデータの整合性を確保するために、CDF はすべてのエンドポイント間でファイル アクセスを調整するロック アルゴリズムを使用します。これにより、すべてのデータ トランザクションが承認され、ログに記録され、以前のすべてのアクションと厳密に一致することが保証されます。

データセキュリティ

エンドポイント間でファイル システム メタデータを複製すると、ACL (SMB および NFSv4.1) と POSIX 権限も複製されます。ポータル全体のすべてのユーザーが同じ認証ソースを共有している場合、データ アクセスはエンドポイント間で自動的に引き継がれます。

ポータルが削除されると、すべてのスポーク エンドポイントへのリンクが終了し、すべてのローカルにキャッシュされたデータが各スポークから削除されます。基盤となる共有またはエクスポートも削除されない限り、データはハブ エンドポイントとして機能していた Qumulo インスタンスに残ります。

データポータル

Cloud Data Fabric の統合データ アクセスに対する独自のアプローチは、データ ポータルに基づいています。ポータルは、個々の SMB 共有または NFS エクスポート (または両方のレベル。Qumulo はマルチプロトコル データ共有も提供しているため) のレベルで公開されます。CDF ポータルを作成すると、その共有またはエクスポート内のデータが 1 つ以上の追加の Qumulo インスタンスで使用できるようになります。

CDF ポータルは、読み取り専用と双方向の両方のユースケースをサポートできます。

ポータルエンドポイント

Cloud Data Fabric ポータルは、ハブ アンド スポーク トポロジを使用して構築されます。このトポロジでは、1 つの Qumulo インスタンス (「ハブ」) がポータル データの権限所有者として機能し、すべてのポータル エンドポイントにわたるすべてのデータ アクセス操作を調整します。各ポータルには 1 つのハブがあり、1 つ以上の「スポーク」エンドポイントがポータルの名前空間の拡張として機能します。

新しいポータルを作成するには、管理者は公開するハブ上の特定の共有またはエクスポートを識別し、少なくとも 1 つの追加の Qumulo エンドポイントをスポークとして割り当て、新しいポータルを読み取り専用または双方向として指定します。必要に応じて、追加の Qumulo インスタンスをスポークとしてポータルに追加できます。

CDF ポータルの各エンドポイントは、独立した Qumulo ストレージ インスタンスとしても機能し、ローカル クライアントのみが使用できるように制限された追加の共有やエクスポートをホストします。

ジャーナルログ

特定のポータル内のすべてのファイル システム操作は、分散ログ メカニズムによって追跡されます。各データ アクセス イベント (作成、読み取り、変更、削除など) は共有ログに記録され、ポータル全体の他のすべてのエンドポイントに複製されます。

論理的な時間追跡

絶対的な物理タイムスタンプではなく、共有論理時間オフセットを使用してエンドポイント間でイベントを調整することで、異なる Qumulo インスタンス間のタイムゾーンの違いや時間オフセットを調整することなく、すべてのエンドポイントのすべてのノードにデータ トランザクションが正しい順序で適用されることが保証されます。

論理ログとリカバリ

ポータル スポークがハブへの接続を失うと、そのスポークのどのクライアントもポータル データを利用できなくなります。ポータルの残りのエンドポイントでは、分散ログ ファイルがポータル内のデータの変更を継続的に追跡します。

再接続すると、影響を受けるスポークはログ内のイベントを適切な順序で再生し、ローカルにキャッシュされたデータをポータル内の残りのエンドポイントと調整します。

転送の最適化

Cloud Data Fabric は、限られた帯域幅を最大限に活用するように設計されており、広範囲に分散した企業でも、大規模なリモート データへの高性能で低レイテンシのアクセスを実現します。これは、クライアントが必要な特定のポータル データを要求するのを待機し、各エンドポイントで関連データのみをローカルにキャッシュし、ファイル全体やデータセット全体ではなく、変更されたデータ ブロックのみをエンドポイント間で複製することによって実現されます。

ローカルキャッシュ

リモート エンドポイントからのデータへの最初のアクセスにより、要求されたファイルまたはフォルダーがネットワーク経由で「プル」され、ローカル Qumulo エンドポイントにキャッシュされます。最初のアクセス後にデータが変更されないと仮定すると、同じデータに対する後続のすべてのアクセス要求は、ローカル キャッシュから提供されます。

スパースファイルシステム

各スポークは、ローカルでホストする他のファイル データとは独立したシャドウ ファイル システムを構築します。このファイル システムには、ポータルのメタデータとローカルにキャッシュされたポータル データが含まれます。ローカル インスタンスは、ローカル ファイル システムの読み取りパフォーマンスを最適化するインテリジェント キャッシュ システムに似ていますが、独立したヒート マップを使用して、キャッシュされたデータへのアクセス頻度を監視します。

このスパース ファイル システムのサイズは、特定の Qumulo インスタンスの使用可能なストレージ容量によって異なります。新しいポータル データが要求され、スパース ファイル システムがいっぱいになると、古いデータがキャッシュからフラッシュされ、新しい受信データのパフォーマンスが最適化されます。

予測キャッシュ

ローカル クライアントとアプリケーションがファイルとフォルダにアクセスすると、各エンドポイントは、時間の経過とともにスパース ファイル システム キャッシュに受動的に追加されるポータル データを監視し、クライアントとアプリケーションの動作パターンを識別し始めます。CDF は、これらのアクセス パターンを使用して、次に要求される可能性のあるデータ ブロックを予測し、要求される前にそれらのブロックをスパース ファイル システム キャッシュに事前にプリフェッチします。

サーバーハードウェア

Qumulo のソフトウェアは、事実上すべての標準的なエンタープライズ グレードの x86-64 ベースのハードウェアで動作しますが、最適な可用性とパフォーマンスを求めるお客様は、適切なハードウェア構成を選択する前に Qumulo に直接相談する必要があります。

基盤となる Linux オペレーティング システムはロックダウンされており、Qumulo ソフトウェア環境の必要なサポート タスクを実行するために必要な操作のみが許可されます。攻撃のリスク面をさらに減らすために、他の標準 Linux サービスは無効になっています。

完全にネイティブなソフトウェア スタック

Linux には、NFS と SMB の両方のクライアントおよびサーバー サービス (Samba、Ganesha など) を提供するオープンソース コンポーネントが含まれていますが、これらのサービスは、Qumulo ソフトウェア環境をサポートする強化された Ubuntu イメージには含まれていません。 Qumulo は、Qumulo オペレーティング環境でデータ アクセス プロトコル NFS、SMB、FTP、S3 に使用されるすべてのコードを開発および制御します。

インスタントアップグレード

Qumulo の反復的な開発プロセスはシンプルで合理化されており、新しいソフトウェア アップデートが定期的にリリースされます。これにより、迅速なイノベーションによって新機能を開発および展開し、より安全なストレージ プラットフォームを育成できます。

Qumulo は、アップグレード プロセスを迅速かつ簡単に行えるように設計しました。Qumulo Core ソフトウェア スタックは完全にコンテナ化されており、サイズに関係なく、クラスター全体を 20 秒でアップグレードできます。古いバージョンをシャットダウンする前に、更新されたバージョンの機能と安定性を完全に検証できるため、ロールバックの必要がなくなります。

Qumuloを使ってみる

無料デモ開始
上へスクロール