バックアップと復元の使用
バックアップと復元は、システム保守プランの重要な部分です。各組織のバックアップ計画は高度に個別化されていますが、ASA FirePOWER モジュールには、障害発生時に復元できるようにデータをアーカイブするためのメカニズムが備わっています。
バックアップと復元に関する次の制限事項に注意してください。
- バックアップは、バックアップを作成する製品バージョンに対してのみ有効です。
- バックアップの復元は、その作成に使用されたものと同じバージョンの ASA FirePOWER モジュール ソフトウェアを実行している場合のみ可能です。
注意
バックアップと復元のプロセスは、複数の ASA FirePOWER モジュール間でコンフィギュレーション ファイルをコピーする目的には使用しないでください。コンフィギュレーション ファイルは ASA FirePOWER モジュールを一意的に識別する情報を含むため、共有できません。
注意
侵入ルールのアップデートを適用した場合、それらのアップデートはバックアップされません。復元
後に、最新のルールのアップデートを適用する必要があります。
アプライアンスまたはローカル コンピュータにバックアップ ファイルを保存できます。
詳細については、次の各項を参照してください。
バックアップ ファイルの作成
ライセンス: 任意(Any)
ASA FirePOWER モジュールのバックアップは、モジュール インターフェイスを使用して実行できます。既存のシステム バックアップを表示して使用するには、[バックアップ管理(Backup Management)] ページに移動します。イベント データに加えて、アプライアンスの復元に必要なすべてのコンフィギュレーション ファイルを含むバックアップ ファイルを定期的に保存する必要があります。設定の変更をテストする際にもシステムをバックアップして、必要に応じて保存されている設定に戻すことができます。バックアップ ファイルを、アプライアンスに保存するか、ローカル コンピュータに保存するかを選択できます。
アプライアンスに十分なディスク スペースがない場合は、バックアップ ファイルを作成できません。バックアップ プロセスの使用スペースが使用可能なディスク スペースの 90 % を超えると、バックアップに失敗することがあります。必要に応じて、古いバックアップ ファイルを削除するか、古いバックアップ ファイルをアプライアンスの外部に転送してください。
あるいは、バックアップ ファイルが 4GB を超える場合は、SCP 経由でリモート ホストにコピーします。バックアップ ファイルが 4 GB より大きい場合、ローカル コンピュータからバックアップをアップロードすることはできません。
注意
セキュリティ ゾーンとのインターフェイス アソシエーションが設定されている場合、それらのアソシエーションはバックアップされません。それらは、復元後に再設定する必要があります。詳細については、
セキュリティ ゾーンの操作を参照してください。
ASA FirePOWER モジュールのバックアップ ファイルの作成方法:
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択します。
[バックアップ管理(Backup Management)] ページが表示されます。
手順 2 [デバイスのバックアップ(Device Backup)] をクリックします。
[バックアップの作成(Create Backup)] ページが表示されます。
手順 3 [名前(Name)] フィールドに、バックアップ ファイルの名前を入力します。英数字、句読記号、およびスペースを使用できます。
手順 4 オプションで、バックアップの完了時に通知を受けるためには、[電子メール(Email)] チェック ボックスをオンにして、用意されているテキスト ボックスに電子メール アドレスを入力します。
(注) 電子メール通知を受信するには、メール リレー ホストおよび通知アドレスの設定で説明されているように、リレー ホストを設定する必要があります。
手順 5 オプションで、セキュアなコピー( SCP
)を使用してバックアップ アーカイブを異なるマシンにコピーするには、[完了時にコピー(Copy when complete)] チェック ボックスをオンにしてから、用意されているテキスト ボックスに以下の情報を入力します。
- [ホスト(Host)] フィールドに、バックアップのコピー先となるマシンのホスト名または IP アドレス
- [パス(Path)] フィールドに、バックアップのコピー先となるディレクトリへのパス
- [ユーザ(User)] フィールドに、リモート マシンへのログインに使用するユーザ名
- [パスワード(Password)] フィールドに、そのユーザ名のパスワードパスワードの代わりに SSH 公開キーを使用してリモート マシンにアクセスする場合は、そのマシンの指定ユーザの
authorized_keys
ファイルに、[SSH 公開キー(SSH Public Key)] フィールドの内容をコピーします。
このオプションをオフにする場合、バックアップ中に使用された一時ファイルがシステムによってリモート サーバに保存されます。このオプションをオンにする場合は、一時ファイルはリモート サーバに保存され ません 。
ヒント Cisco は、システム障害が発生した場合にアプライアンスを復元できるように、バックアップをリモート ロケーションに定期的に保存することを推奨します。
手順 6 次の選択肢があります。
- バックアップ ファイルをアプライアンスに保存するには、[バックアップ開始(Start Backup)] をクリックします。
バックアップ ファイルは /var/sf/backup
ディレクトリに保存されます。
バックアップ プロセスが完了すると、[復元データベース(Restoration Database)] ページでファイルを参照できます。バックアップ ファイルを復元する方法については、バックアップ ファイルからのアプライアンスの復元を参照してください。
- この設定を後で使用できるバックアップ プロファイルとして保存するには、[新規保存(Save As New)] をクリックします。
バックアップ プロファイルを変更または削除するには、[設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択し、次に [バックアップ プロファイル(Backup Profiles)] をクリックします。詳細については、バックアップ プロファイルの作成を参照してください。
バックアップ プロファイルの作成
ライセンス: 任意(Any)
[バックアップ プロファイル(Backup Profiles)] ページを使用して、さまざまな種類のバックアップに使用する設定値を含むバックアップ プロファイルを作成できます。後にアプライアンスのファイルをバックアップするときに、これらのプロファイルの 1 つを選択できます。
ヒント バックアップ ファイルの作成で説明されているようにバックアップ ファイルを作成すると、バックアップ プロファイルが自動的に作成されます。
バックアップ プロファイルを作成するには、次の手順を実行します。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択します。
[バックアップ管理(Backup Management)] ページが表示されます。
手順 2 [バックアップ プロファイル(Backup Profiles)] タブをクリックします。
[バックアップ プロファイル(Backup Profiles)] ページが表示されて、既存のバックアップ プロファイルのリストが示されます。
ヒント 編集アイコン()をクリックして既存のプロファイルを変更するか、または削除アイコン()をクリックしてリストからプロファイルを削除することができます。
手順 3 [プロファイルを作成(Create Profile)] をクリックします。
[バックアップの作成(Create Backup)] ページが表示されます。
手順 4 バックアップ プロファイルの名前を入力します。英数字、句読記号、およびスペースを使用できます。
手順 5 バックアップ プロファイルを必要に合わせて設定します。
このページのオプションについては、バックアップ ファイルの作成を参照してください。
手順 6 バックアップ プロファイルを保存するには、[新規保存(Save As New)] をクリックします。
[バックアップ プロファイル(Backup Profiles)] ページが表示されて、新しいプロファイルがリストに示されます。
ローカル ホストからのバックアップのアップロード
ライセンス: 任意(Any)
バックアップ管理(Backup Management) の表で説明されているダウンロード機能を使用してローカル ホストにダウンロードしたバックアップ ファイルは、ASA FirePOWER モジュールにアップロードできます。
バックアップ ファイルに PKI オブジェクトが含まれている場合、内部 CA と内部証明書オブジェクトに関連付けられた秘密キーは、アップロードの際にランダムに生成されるキーによって再暗号化されます。
ヒント バックアップが 4 GB より大きい場合、ローカル ホストからのアップロードはできません。代わりに、バックアップを SCP 経由でリモート ホストにコピーし、そこから取得することができます。
ローカル ホストからバックアップをアップロードするには、次の手順を実行します。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択します。
[バックアップ管理(Backup Management)] ページが表示されます。
手順 2 [バックアップのアップロード(Upload Backup)] をクリックします。
[バックアップのアップロード(Upload Backup)] ページが表示されます。
手順 3 [ファイルの選択(Choose File)] をクリックして、アップロードするバックアップ ファイルに移動します。
アップロードするファイルを選択した後に、[バックアップのアップロード(Upload Backup)] をクリックします。
手順 4 [バックアップ管理(Backup Management)] をクリックして、[バックアップ管理(Backup Management)] ページに戻ります。
バックアップ ファイルがアップロードされ、バックアップ リストに表示されます。ASA FirePOWER モジュール によってファイルの整合性が検証されたら、[バックアップ管理(Backup Management)] ページを更新して、詳細なファイル システム情報を確認します。
バックアップ ファイルからのアプライアンスの復元
ライセンス: 任意(Any)
[バックアップ管理(Backup Management)] ページを使用して、バックアップ ファイルからアプライアンスを復元できます。バックアップを復元するには、バックアップ ファイル内の VDB のバージョンが、アプライアンスの現在の VDB のバージョンと一致している必要があります。復元プロセスが完了した後、最新の Cisco ルール アップデートを適用する 必要があります 。
注意
仮想 Firepower Management Center で作成されたバックアップを物理 Firepower Management Center に復元しないでください。これはシステム リソースに負荷をかける可能性があります。仮想バックアップを物理 Firepower Management Center に復元する必要がある場合は、サポートに連絡してください。
バックアップ ファイルに PKI オブジェクトが含まれている場合、内部 CA と内部証明書オブジェクトに関連付けられた秘密キーは、アップロードの際にランダムに生成されるキーによって再暗号化されます。
ローカル ストレージを使用する場合、バックアップ ファイルは /var/sf/backup
に保存されて、 /var
パーティションで使用されているディスク領域量と共に [バックアップ管理(Backup Management)] ページの下部にリストされます。
(注) バックアップが完了した後にライセンスを追加した場合は、このバックアップを復元するときに、それらのライセンスが削除されたり上書きされたりすることはありません。復元の際の競合を防止するためにも、バックアップを復元する前に、これらのライセンスを(それらが使用されている場所をメモした上で)削除し、バックアップを復元した後で、追加して再設定してください。競合が発生した場合は、サポートに連絡してください。
次の表では、[バックアップ管理(Backup Management)] ページの各列とアイコンについて説明します。
表 48-1 バックアップ管理(Backup Management)
|
|
システム情報(System Information) |
元のアプライアンスの名前、タイプ、バージョン。バックアップを復元できるのは、同一のアプライアンス タイプとバージョンに対してだけであることに注意してください。 |
作成日 |
バックアップ ファイルが作成された日時 |
ファイル名(File Name) |
バックアップ ファイルのフルネーム |
VDBバージョン(VDB Version) |
バックアップ時にアプライアンスで実行されている脆弱性データベース(VDB)のビルド。 |
参照先 |
バックアップ ファイルの場所 |
サイズ(MB)(Size (MB)) |
バックアップ ファイルのサイズ(メガバイト) |
表示(View) |
バックアップ ファイルの名前をクリックすると、圧縮されたバックアップ ファイルに含まれるファイルのリストが表示されます。 |
復元(Restore) |
バックアップ ファイルを選択した状態でクリックすると、そのバックアップ ファイルがアプライアンスに復元されます。VDB バージョンがバックアップ ファイルの VDB のバージョンと一致しない場合、このオプションは無効になります。 |
ダウンロード(Download) |
バックアップ ファイルが選択された状態でクリックすると、そのバックアップ ファイルがローカル コンピュータに保存されます。 |
削除(Delete) |
バックアップ ファイルが選択された状態でクリックすると、そのバックアップ ファイルが削除されます。 |
[移動(Move)] をクリックします |
以前に作成したローカル バックアップを選択した状態でクリックすると、そのバックアップが指定のリモート バックアップ ロケーションに送信されます。 |
バックアップ ファイルからのアプライアンスを復元するには、次の手順を実行します。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] の順に選択します。
[バックアップ管理(Backup Management)] ページが表示されます。
手順 2 バック アップ ファイルの内容を確認するには、ファイルの名前をクリックします。
マニフェストが表示され、各ファイルの名前、所有者と権限、およびファイル サイズと日付がリストされます。
手順 3 [バックアップ管理(Backup Management)] をクリックして、[バックアップ管理(Backup Management)] ページに戻ります。
手順 4 復元するバックアップ ファイルを選択して、[復元(Restore)] をクリックします。
[バックアップの復元(Restore Backup)] ページが表示されます。
バックアップの VDB バージョンがアプライアンスに現在インストールされている VDB のバージョンと一致しない場合、[復元(Restore)] ボタンはグレー表示されることに注意してください。
注意
この手順では、すべての設定ファイルが上書きされます。
手順 5 ファイルを復元するには、[設定データの置き換え(Replace Configuration Data)] を選択します。
手順 6 [復元(Restore)] をクリックして、復元を開始します。
アプライアンスが、指定したバックアップ ファイルを使用して復元されます。
手順 7 アプライアンスを再起動します。
手順 8 最新の Cisco ルール アップデートを適用して、ルールのアップデートを再適用します。
手順 9 復元されたシステムにポリシーを再展開します。