Облачный уровень Data Domain: интеграция Data Domain с amazon aws S3

В следующей статье описаны необходимые шаги для настройки возможностей облачного уровня Data Domain с помощью amazon aws S3.

Это руководство в основном разделено на 4 основные части:
— Добавление необходимых учетных данных пользователя amazon aws из aws «IAM».
- Импорт сертификата ЦС для обеспечения связи между Data Domain и S3.
- Добавление облачной единицы из Data Domain
- Именование облачной единицы
__Во-первых: добавление учетных данных пользователя "IAM"__
Первым шагом в интеграции облачного уровня Data Domain с amazon AWS S3 является добавление необходимых учетных данных пользователя AWS из aws «IAM». Эти учетные данные пользователя будут импортированы в систему домена данных для авторизации связи с amazon S3.
__Учетные данные пользователя AWS должны иметь разрешения на
- Создавать и удалять ведра
- Добавлять, изменять и удалять файлы в корзинах, которые они создают

**S3FullAccess** предпочтительнее, но это минимальные требования:
- Создать ведро
- СписокВедро
- Удалить ведро
- СписокВсеМоиВедра
- ПолучитьОбъект
- ПоместитьОбъект
- УдалитьОбъект
А. Перейдите на httpsaws.amazon.com/
и войдите в консоль AWS или создайте новую учетную запись, если это ваш первый раз:
B. В верхнем левом углу выберите сервисы и найдите IAM (AWS Identity and Access Management), чтобы мы могли создавать пользователей и группы AWS и управлять ими, а также использовать разрешения для разрешения и запрета их доступа к ресурсам AWS:
C. На странице IAM выберите «пользователи» в меню слева, затем выберите «добавить пользователя»:
D. Дайте новому пользователю имя, например: «DD_S3_cloudtier».

Выберите тип доступа, чтобы предоставить ему программный доступ, затем нажмите «Далее»:
E. Предоставьте этому пользователю необходимые разрешения для использования ресурсов S3. Выберите добавить пользователя в группу , а затем выберите создать группу:
F. Дайте группе уникальное имя. Например: «S3FullAccess_DD_cloudtier», а затем найдите «AmazonS3FullAccess». Когда опция появится в меню результатов, выберите ее, а затем нажмите «Создать группу»:
G. Вам будет предложено вернуться в предыдущее меню. Выберите только что созданную группу «S3FullAccess_DD_cloudtier», затем нажмите «Далее теги»:
H. В меню «Обзор» еще раз проверьте правильность введенных данных, затем нажмите «Создать пользователя»:
__Я. мы достигаем важной страницы
Теперь у вас есть пользовательский «идентификатор ключа доступа» и «секретный ключ доступа». Вы будете использовать их для интеграции Data Domain с вашими ресурсами S3. Нажмите «загрузить .csv» и сохраните этот CSV-файл в безопасном месте, а также скопируйте идентификатор ключа доступа и секретный ключ доступа, поскольку мы будем использовать их в Data Domain:
__Второй: Импорт сертификата ЦС__

Вы должны импортировать сертификат ЦС, чтобы обеспечить связь между вашей системой Data Domain и amazon S3.

О. Чтобы загрузить корневой сертификат AWS, перейдите по адресу httpswww.digicert.com/digicert-root-certificates.htm.
и выберите корневой сертификат Baltimore CyberTrust:
- Если загруженный сертификат имеет расширение .CRT, его необходимо преобразовать в сертификат в формате PEM. Если это так, используйте OpenSSL для преобразования файла из формата .crt в .pem. Например, openssl x509 -inform der -in BaltimoreCyberTrustRoot.crt -out BaltimoreCyberTrustRoot.pem

- Вы можете узнать больше о том, как преобразовать сертификат в PEM, из следующей статьи базы знаний: httpssupport.emc.com/kb/488482.
B. Другой вариант — перейти на следующую страницу httpsbaltimore-cybertrust-root.chain-demos.digicert.com/info/index.html.
и скопируйте сертификат, чтобы вставить его в систему Data Domain, как мы сделаем дальше:
C. Перейдите в графический интерфейс Data Domain и выполните следующую процедуру:
- 1. Выберите «Управление данными» >«Файловая система» >«Облачные единицы».

- 2. На панели инструментов щелкните Управление сертификатами. Отображается диалоговое окно «Управление сертификатами для облака».

- 3. Нажмите Добавить

- 4. Выберите один из следующих вариантов:
- Я хочу загрузить сертификат в виде файла .pem

Найдите и выберите файл сертификата

- Я хочу скопировать и вставить текст сертификата

Скопируйте содержимое файла .pem в буфер копирования.

Вставить буфер в диалог

Мы закончили с добавлением сертификата CA. Далее мы собираемся добавить нашу облачную единицу S3 из графического интерфейса Data Domain.

__Третье: добавление блока влияния в Data Domain__
Вот краткое сравнение некоторых различий между выпусками DDOS и их доступными вариантами облачного уровня:
|DDOS-версия
||Возможности
|
|6.0
||
|
- Поддерживает только класс "Стандартное хранилище S3"- Не имеет метода проверки облачного провайдера
- Не поддерживает функцию большого размера объекта
|6.1
||
|
- Поддерживает классы хранения «стандартный» и «Стандартный-нечастый доступ (S3 Standard-IA)».
- 6.1.1.5 >= : наличие метода проверки облачного провайдера
- поддерживает функцию большого размера объекта
|6.2
||
|
- Поддерживает "Стандарт", "Стандарт-IA"и "Одна зона-нечастый доступ (S3 One Zone-IA)"- иметь метод облачной проверки
- поддерживает функцию большого размера объекта
__из графического интерфейса домена данных выполните эту процедуру, чтобы добавить облачную единицу S3
- 1. Выберите «Управление данными» >«Файловая система» >«Облачные единицы».

- 2. Нажмите Добавить. Отображается диалоговое окно «Добавить облачную единицу».

- 3. Введите имя для этого облачного модуля. Допускаются только буквенно-цифровые символы. Остальные поля в диалоговом окне «Добавить облачную единицу» относятся к учетной записи облачного провайдера.

- 4. В качестве поставщика облачных услуг выберите Amazon Web Services S3 из раскрывающегося списка.
- 5. Выберите класс хранилища из выпадающего списка. В зависимости от версии DDOS вы найдете различные варианты, основанные на таблице выше.

Узнайте больше о различных поддерживаемых классах хранилища S3 по следующей ссылке, чтобы выбрать класс хранилища, наиболее подходящий для ваших нужд резервного копирования:
httpsaws.amazon.com/s3/storage-classes/
- 6. Выберите соответствующий регион хранения из выпадающего списка.

- 7. Введите ключ доступа провайдера «в виде текста пароля», который мы получили от amazon IAM на шаге 1.

- 8. Введите секретный ключ провайдера «как текст пароля», тот, который мы получили от amazon IAM на шаге 1.

- 9. Убедитесь, что порт 443 (HTTPS) не заблокирован в брандмауэрах. Связь с облачным провайдером AWS происходит через порт 443.

- 10. Если для обхода брандмауэра этого провайдера требуется HTTP-прокси-сервер, нажмите «Настроить для HTTP-прокси-сервера». Введите имя хоста прокси, порт, пользователя и пароль

- 11. если у вас DDOS >= 6.1.1.5, нажмите кнопку облачной проверки

Более подробную информацию об инструменте проверки облака Data Domain можно найти здесь: httpssupport.emc.com/kb/521796
Если ваша версия DDOS 6.0, нажмите «Добавить», так как опция облачной проверки недоступна в этом выпуске.

- 12. Нажмите Добавить. В главном окне файловой системы теперь отображается сводная информация для нового облачного модуля, а также элемент управления для включения и отключения облачного модуля.

-
__Примечание
При необходимости можно легко обновить ключ доступа к облачному модулю S3 и идентификатор секретного ключа доступа из графического пользовательского интерфейса Data Domain.

__Третье: название облачной единицы__
Если мы вернемся к amazon S3, то обнаружим, что система Data Domain создала 3 корзины для этого облачного модуля:
Соглашение об именах для 3 сегментов следующее:
- Шестнадцатеричная строка из 16 символов.

- знак тире

- Еще одна шестнадцатеричная строка из 16 символов,
*шестнадцатеричная строка уникальна для данной облачной единицы*

- Еще один символ тире

- Ведра будут заканчиваться строкой «-d0», «-c0» и «-m0».

- Ведро, оканчивающееся на строку '-d0', используется для сегментов данных.

- Ведро, оканчивающееся строкой '-c0', используется для данных конфигурации.

- Ведро, оканчивающееся на строку '-m0', используется для метаданных.

Дополнительные сведения об именовании облачных единиц см. в следующей статье базы знаний: httpssupport.emc.com/kb/487833.
Теперь вы завершили создание облачной единицы S3, интегрированной с вашей системой Data Domain, и готовы приступить к применению политик перемещения данных для ваших Mtrees, чтобы перенести данные во вновь созданную единицу облачного уровня.