Private onlyの環境からVeeam 10を利用してICOSにアクセスする方法


1. はじめに

VCS(VMware vCenter Sever) on IBM CloudのAdd-onサービスとしてVeeam 10をプロビジョニングすると、VMもしくはVSIでプロビジョニングされます。
これらのサーバーはPrivate only(Private IPしか持たない)ため、Internetにはアクセスできません。しかし、ICOS(IBM Cloud Object Storage)は、Public側だけでなくPrivate側にもEndpointを持っている(Private IPでアクセスできる)ので、Private側のEndpointに接続すればいいよね!って思ってたのですが、接続できません!

  • Backup Respositoryの追加

  • IBM Cloud Object Storageを選択

  • 適当な名称を選択

  • 下記画面でしばらく固まった後・・・・

  • 接続に失敗する

ちゃんとTCPレベルで接続できることは確認済みです。

2. 結論

一般的にHTTPS通信をする場合は、証明書が適切な認証局から署名されているかどうかというチェックだけでなく、Certificate Revocation List (CRL)にアクセスして、証明書が失効していないかをチェックします。VeeamはこのCertificate Revocation Checkをデフォルトで厳密にチェックしようとするため、Internetに接続できない環境では失敗するようです。
このチェックを無効化するためのレジストリ変数があるのですが、従来はprivate fixでのみ利用可能となっていました。正式に利用するためにはVeeam10aが必要になります。

3. 対応方法

以下の2つのことを実施する必要があります。

3-1 Veeam10aの適用

https://www.veeam.com/kb3228
私の既存環境では、10.0.0.4461だったのですが、この2020/08/04に更新された最新のupdateを適用することにより10.0.1.4854になります。

3-2 レジストリ変数の変更

レジストリ変数: HKEY_LOCAL_MACHINE\SOFTWARE\Veeam\Veeam Backup and Replication\S3TLSRevocationCheckを0に設定して、OSを再起動する。

#レジストリ変数の設定
C:\>reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Veeam\Veeam Backup and Replication" /t REG_DWORD /v S3TLSRevocationCheck /d 0
The operation completed successfully.

#設定の確認
C:\>reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Veeam\Veeam Backup and Replication" /v S3TLSRevocationCheck

HKEY_LOCAL_MACHINE\SOFTWARE\Veeam\Veeam Backup and Replication
    S3TLSRevocationCheck    REG_DWORD    0x0

4. 再テスト

  • ここで再度テストしてみると・・・
  • 次に進めた!