サービス概要(Cohesityとは何ぞや?)

Cohesityとは、バックアップ、リカバリ、レプリケーション、およびディザスタリカバリを、ハイパーコンバージドかつクラウドネイティブの単一プラットフォームに集約することにより、データ保護を簡素化する統合されたスケールアウトプラットフォームです。
Nutanixを創業したMohit Aron(Cohestiy 現CEO)が2013年に創業した企業です。
https://www.cohesity.com/jp/
https://www.networld.co.jp/solution/cohesity_function/

要はクラウドにバックアップするサービス
Cohesity Snapshotはオンプレミスまたはハイブリッド環境で使用できる

  • サイバー脅威からの包括的な保護
  • ランサムウェアからの迅速な復旧
  • ハイブリッドクラウドモビリティ
  • マルチクラウド対応(様々なクラウド利用のサポートでコストを削減)
  • SmartFiles(高機能なファイルサービスでNASの悩みを解決)
  • 統合バックアップ(豊富なバックアップに対応、データ保護は安心)
  • 長期アーカイブ(法的要件に対応したアーカイブソリューション)
  • ランサムウェア対応(予防・検出・回復)
  • コンテナ対応とREST API

AWSとの関係は?

Cohesityのデータ管理ソリューションは、SaaSとサブスクリプションベースのセルフマネージドソフトウェアの両方で利用可能で、ハイブリッドクラウド全体を単一のプラットフォームとUIで一貫性のあるデータ管理エクスペリエンスを提供しています。AWSクラウドネイティブのアプリやデータを保護する必要がある場合も、AWSクラウドへの移行を支援する必要がある場合も、CohesityのAWSソリューションでサポートできます。
一元管理されたスナップショットまたはCohesityに保存された個別のバックアップコピーにより、EC2およびRDSデータを保護します。

https://www.ineteng.com/hs-fs/hubfs/undefined-Apr-24-2023-02-32-13-4061-PM.png?width=1382&height=832&name=undefined-Apr-24-2023-02-32-13-4061-PM.png

 

ソースとしてAWSが選択可能

(参考)
https://aws.amazon.com/jp/partners/success/cohesity/

目的・やりたいこと

Cohesityの検証
AWSバックアップソリューションとして使えるかどうか、検証して色々試してみる

対象者

バックアップ運用管理者

対象となる技術

  • Cohesity

条件(導入にあたって前提事項)

SaaS コネクタ VM のシステム要件

  • 4 CPU
  • 10 GB RAM
  • 24 GB のディスク容量 (100 MB スループット、100 IOP)
  • アウトバウンドインターネット接続
  • 160 台の VM または 16 TB のソース データごとに 1 つの SaaS コネクタを用意する

参考URL

作業の流れ

検証手順

1.ソースの登録
今回はオンプレミスのVmware(ESXi)やHyperV環境がないため、AWSにソースを作成します。
これにはCloudFormationを使って、まずはIAMロール等を作成します。

2.ソースの保護
保護したいソースのEC2を選択し、ポリシーを適用します。
今回はAWSスナップショット/Cohesityスナップショットの両方を取り、あらかじめ用意されていたSilver(毎日バックアップ、2週間保持)プランを適用しました。

3.AWS SaaS コネクタのデプロイ
クラウドベースのデータ ソースを Cohesity DataProtect に登録するには、SaaS 接続を使用してソースとサービス間の接続を確立する必要があります。

[ソース]のAWS アカウントの横にある[アクション]メニュー (⋮)をクリックし、 [SaaS接続を設定]を選択します。

サブネット(パブリックサブネット推奨)を指定する必要があることから、最低でもVPCごとに1つのコネクターが必要

諸々入力すると作成画面に。これが「接続済み」になるまで7分くらいかかる

ただしここでコケると、再作成しようにもまず削除するのに30分くらいかかるので手間取ります。
コケる要因としては、セキュリティグループが適切に解放されていないことが考えられるので、ここを参考に適切にポートを開けてください。(https://docs.cohesity.com/baas/Resources/Images/data-protect/dataprotect-firewall-ports.png)

他の要因は、EC2コネクターのネットワーク環境がちゃんと外部に出れていない可能性があります。自分の場合はサブネットを変えたらうまくいきました。

上が成功した方で下が失敗した方。成功した方はちゃんとパブリックDNSが付与されています。

成功すると「ソースが正常に更新されました」と出るので、EC2を見に行くと、ちゃんと出来上がっている

SaaS接続としてコネクターが無事表示

こういう状態になっていればバックアップが成功している。だいたい1分以内に終わっていた

実際にEBSのスナップショットを見てみると、ばっちりスナップショットが取られていた。

  • レポート

保護されたオブジェクトに対し、バックアップの成功率などをグラフで視覚化したレポートページは、例えばこんな感じに

AWSスナップショットとCohesityスナップショットの違い

CohesityスナップショットとAWSスナップショット両方取ってみたのですが、違いがよくわからず。
前者はCohesity上にスナップショットが取られると思ったのですが、結局AWSのEBSスナップショットに保存されているようです。そうなるとAWSスナップショットと何が違うのか。SaaSを経由しているかどうか?
Cohesityスナップショットを取る場合はSaaSコネクターが必要なのはもちろん、AWSスナップショットをHeliosから指示する場合はSaaSコネクターがスナップショットの指示をAWSに出している
また、CCSで取得されたバックアップデータは、CCSサービス内のS3に保持されており、ユーザーは物理的にデータを確認することはできないらしい。

  • AWSスナップショット:Cohesityのスケジュールについて、該当インスタンスに割り当てられているEBSスナップショットにて世代管理します。
  • Cohesityスナップショット:Cohesityのスケジュールについて、SaaS Connectorを通して、Cohesity サービス側にバックアップデータを取得し、お客様の環境から切り離されたエアギャップ保管を実現します。

いずれの方式でもCohesity Heliosでバックアップデータ運用における一元管理を行い、さまざまなデータ保護対象に対する運用を統一していただくことが可能です。

ちなみに回復に関しては違いは明らか。Cohesityバックアップの場合はこのように「ファイルを回復」ボタンが表示されるが、

AWSバックアップの場合は代わりに「即時実行」というのが表示されるだけで、ファイル回復がない。

ちなみにこの「ファイルを回復」をクリックすると、このようなCフォルダ以下が見れるように。ちゃんとファイル単位でダウンロードできるので、ファイル単位で回復できている。フォルダは展開できるが、Documents and Settingsのようなショートカット?は開けない

「回復」を選ぶと、元の場所ならデフォルトのままだが、新しい場所を選ぶとアカウントやらリージョンやらサブネットやら回復場所を色々選べるように

元の場所に回復させると、元のインスタンス名に+「copy-」という接頭辞が付いて見事に復活していた。

注意事項

  • ソースとしてAWSの検証環境アカウントを登録したのですが、接続を削除できないばかりか、元のソースも削除(登録解除)できない状態となってしまいました。このようにコネクターやソースを誤って作成して作り直したい場合、いったん保護になっているEC2を全部解除したところ、削除できるようになりました。
  • コネクターを作成する際の注意点
    • Publicサブネットの場合は、VPCにInternet Gatewayを構成し、Public IPアドレスのAuto assignにて割り当てる。これはサブネットにパブリックIPアドレスの自動割り当てを有効化する機能があるのでこれを使います。自分はそれを知らなかったために、パブリックサブネットのコネクターVMになかなかパブリックIPが付与されず、通信できませんでした。
    • Private サブネットの場合は、Private サブネットよりPublic サブネット上のNATゲートウェイを通して、インターネットに接続できる状況(Internet gateway(Elastic IP)と、VPC上でのDNS名前解決に合わせて、SSM, SSM Messages, and EC2 Messages endpointsを構成し、外部に接続できる必要がある。色々と要件が厳しいので個人的にはプライベートサブネットは非推奨かな

所要時間

1時間

ユースケース

AWSスナップショットを、Cohesityのスケジュールについて、該当インスタンスに割り当てられているEBSスナップショットにて世代管理したい場合

全体的な感想

  • 様々なクラウドに対応している

AWSはもちろん、Azure、Google、Oracleなど様々なマルチクラウド対応しているのが素晴らしい。

  • UIが日本語に完全対応

ユーザープリファレンスで言語を選べて、英語と日本語しかないのですが、日本語を選択するとUIがすべて日本語フル対応になります。これはありがたいです。

  • ログインが2要素認証標準対応

Cohesityダッシュボードにログインするには、ID/パスワードだけでなく、スマホのAuthenticatorを使ったコードも入力する必要があり、2要素かつ2段階認証に最初から設定変更しなくても標準で対応しており、セキュリティ意識の高さを感じました。

  • 更新(リフレッシュ)ボタンがあまり機能していない
    右端の回転アイコンを押しても、「ソースに対して正常にリフレッシュが開始されました。」とありますが、何がリフレッシュされたのか曖昧でした。表示上の更新をするにはブラウザのタブを更新するしかないみたい。この辺りはマニュアル等で後ほど情報が充実していくものと期待しています。
  • マニュアル(ドキュメント)が全て英語
    この手の製品ではよくあることですが、マニュアルがすべて英語。Webページなら右クリックでGoogleページ翻訳できるが、PDFだと辛い。製品のUIが日本語対応できているので、ドキュメント類はこれから日本語化が進むものと思います。
  • UIが若干不親切
    例えばソートができない。これだけオブジェクトがあるので、例えばステータスの順番やSLAがあるもの、最新スナップショットがあるものから並べようとしても、列名をクリックできない(ソートできない)
  • アプリケーションが試せない
    ClamAVやInsightsなどのアプリケーションを試してみたかったが、こちらはあくまでオンプレ物理アプライアンス向けのコンテナAppになるので、今回の検証環境CCSサービスでは確認できないらしい。
  • ランサム対策機能は試せていないが楽しみ
    バックアップ製品となるとやはり気になるのが、バックアップまで暗号化しようとするランサムウェアに対抗できるのかということ。今回の検証環境は対象外だったので試せていないが、Cohesityはその辺りもちゃんと対策している様子。AIで振る舞い検知したり、実際に暗号化を始めようとするとそれを阻止するとか(できればリアルタイムで見てみたい)

結論

費用感次第ですが、AWSのスナップショットをAWS外の色々なところに保存したい、バックアップしたスナップショットをファイル単位でリストアしたいといった用途があればCohesityはいい選択肢になりそうです!

追加検証依頼1

暗号化されたEBSってシングルファイルリストアできるんですかね?
cohesity独自の仕組みでスナップショット取ってるなら取得段階でアカウント内で復号化して取得してcohesityのS3に上げるから問題ないのかな?

ということで早速検証してみました。
1.まずはこのように最初からEBSをデフォルト暗号化した状態のEC2を作成

2.このEC2を保護して即時実行でバックアップ取得

3.「ファイルを回復」でボリュームを表示させ、開こうとしたところ・・

このようなマウントエラーとなりました。つまり、暗号化されていてマウントできないのでこれ以上展開できない⇨暗号化されたファイルはCohesityでも読み取れないということですね!

追加検証依頼2

例えば、シンガポールリージョンから東京リージョンのバックアップを取ってきて保管できるか?
リストアするリージョン選べるか?

シンガポールリージョンのソースから東京リージョンのEC2のスナップショットを撮ることはできました(でもそれは東京リージョンに保管)
AWSスナップショットは取れましたが、Cohesityスナップショットは取れませんでした。
そもそもCohesityでは、他リージョンにあるスナップショットを取ってきたりできない。
であればAWS側でクロスリージョンで送るしかないみたい。

  • リストアするリージョンを選べるか ⇨「新しい場所」を選択すれば好きなリージョンを選べます。