Data Domain Cloud层：将数据域与亚马逊AWS S3集成

以下文章将引导您完成使用 amazon aws S3 配置 Data Domain 云层功能所需的步骤本指南主要分为 4 个主要部分： - 从 aws“IAM”添加所需的 amazon aws 用户凭证 - 导入 CA 证书以启用 Data Domain 和 S3 之间的通信 - 从 Data Domain 添加云单元 - 云单元的命名 __首先：添加“IAM”用户凭证__ 将 Data Domain 云层与亚马逊 AWS S3 集成的第一步是从 aws "IAM"添加所需的 AWS 用户凭证。此用户凭据将导入数据域系统以授权与 amazon S3 的通信 __AWS 用户凭据必须有权 - 创建和删除桶 - 添加、修改和删除他们创建的存储桶中的文件 **S3FullAccess **是首选，但这些是最低要求： - 创建桶 - 列表桶 - 删除桶 - ListAllMyBuckets - 获取对象 - PutObject - 删除对象 A. 前往 httpsaws.amazon.com/ 并登录到 AWS 控制台或创建一个新帐户（如果这是您第一次使用）： B. 从左上角选择服务，然后搜索 IAM (AWS Identity and Access Management )，这样我们就可以创建和管理 AWS 用户和组，并使用权限来允许和拒绝他们访问 AWS 资源： C. 从 IAM 页面的左侧菜单中选择“用户”，然后选择“添加用户”： D. 给你的新用户起个名字，例如：“DD_S3_cloudtier” 选择访问类型以授予其编程访问权限，然后单击“下一步”： E. 授予此用户使用 S3 资源所需的权限。选择 add user to group ，然后选择 create group： F. 为组起一个唯一的名称。例如：“S3FullAccess_DD_cloudtier”，然后搜索“AmazonS3FullAccess”。 When the option appears in the result menu select it and then click Create group: G. 系统将提示您返回上一菜单。选择我们刚刚创建的组“S3FullAccess_DD_cloudtier”然后点击Next Tags： H. 在 Review 菜单上，仔细检查您输入的详细信息是否正确，然后单击“Create user”： __我。我们到达了一个重要的页面您现在拥有用户“访问密钥 ID”和“秘密访问密钥”。您将使用它们将 Data Domain 与您的 S3 资源集成。单击“下载 .csv”并将此 CSV 文件保存在安全的地方并复制访问密钥 ID 和秘密访问密钥，因为我们将在 Data Domain 中使用它们： __二：导入CA证书__ 您必须导入 CA 证书以启用您的 Data Domain 系统和 amazon S3 之间的通信 A. 要下载 AWS 根证书，请转到 httpswww.digicert.com/digicert-root-certificates.htm 并选择 Baltimore CyberTrust Root 证书： - 如果您下载的证书具有 .CRT 扩展名，则必须将其转换为 PEM 编码证书。如果是这样，请使用 OpenSSL 将文件从 .crt 格式转换为 .pem。例如，openssl x509 -inform der -in BaltimoreCyberTrustRoot.crt -out BaltimoreCyberTrustRoot.pem - 您可以从以下知识库文章了解有关如何将证书转换为 PEM 的更多信息：httpssupport.emc.com/kb/488482 B. 另一种选择是转到以下页面 httpsbaltimore-cybertrust-root.chain-demos.digicert.com/info/index.html 并复制证书以将其粘贴到 Data Domain 系统中，就像我们接下来要做的那样： C. 转到 Data Domain GUI 并遵循以下过程： - 1. 选择数据管理 >文件系统 >云单元 - 2. 在工具栏中，单击“管理证书”。显示管理云证书对话框 - 3.点击添加 - 4. 选择以下选项之一： - 我想将证书上传为 .pem 文件浏览并选择证书文件 - 我想复制粘贴证书文本将 .pem 文件的内容复制到复制缓冲区将缓冲区粘贴到对话框中我们完成了添加 CA 证书。接下来我们将从 Data Domain GUI 添加我们的 S3 云单元 __第三：将 clout 单元添加到 Data Domain__ 以下是 DDOS 版本及其可用云层选项之间的一些差异的快速比较： |DDOS版本 ||能力 | |6.0 || | - 只支持“S3标准存储”类 - 没有云提供商验证方法 - 不支持大对象尺寸功能 |6.1 || | - 支持“标准”和“标准-不频繁访问（S3 标准-IA）”存储类 - 6.1.1.5 >= : 有云提供商验证方法 - 支持大对象尺寸功能 |6.2 || | - 支持“Standard”、“Standard-IA”和“One Zone-Infrequent Access (S3 One Zone-IA)” - 拥有云端验证方式 - 支持大对象尺寸功能 __从数据域 GUI 中，按照此过程添加 S3 云单元 - 1. 选择数据管理 >文件系统 >云单元 - 2. 单击添加。显示添加云单元对话框 - 3. 输入此云单元的名称。只允许使用字母数字字符。添加云单元对话框中的其余字段与云提供商帐户有关 - 4. 对于 Cloud provider，从下拉列表中选择 Amazon Web Services S3 - 5. 从下拉列表中选择存储类别。根据 DDOS 的版本，您会根据上表找到不同的选项从以下链接了解有关不同支持的 S3 存储类的更多详细信息，以选择最适合您的备份需求的存储类： httpsaws.amazon.com/s3/storage-classes/ - 6.从下拉列表中选择合适的存储区域 - 7. 输入提供商访问密钥“作为密码文本”，这是我们在第 1 步中从亚马逊 IAM 获得的 - 8. 输入提供商密钥“作为密码文本”，这是我们在第 1 步中从亚马逊 IAM 获得的密钥 - 9. 确保端口 443 (HTTPS) 未在防火墙中被阻止。与 AWS 云提供商的通信发生在端口 443 上 - 10. 如果需要 HTTP 代理服务器绕过此提供程序的防火墙，请单击配置 HTTP 代理服务器。输入代理主机名、端口、用户和密码 - 11. 如果您有 DDOS >= 6.1.1.5 然后单击云验证按钮有关 Data Domain 云验证工具的更多详细信息，请参见此处：httpssupport.emc.com/kb/521796 如果您的 DDOS 版本是 6.0，则单击添加，因为此版本中不提供云验证选项 - 12. 单击添加。文件系统主窗口现在显示新云单元的摘要信息以及启用和禁用云单元的控件 - __笔记如果需要，您可以在之后从 Data Domain GUI 轻松更新 S3 云单元访问密钥和秘密访问密钥 ID __第三：云单元的命名__ 如果我们现在回到 amazon S3，我们会发现 Data Domain 系统为这个云单元创建了 3 个桶： 3 个桶的命名约定如下： - 一个 16 个字符的十六进制字符串 - 破折号字符 - 另一个 16 字符的十六进制字符串， *此云单元的十六进制字符串是唯一的* - 另一个破折号字符 - 桶将以字符串 '-d0'、'-c0'和 '-m0'结尾 - 以字符串'-d0'结尾的桶用于数据段 - 以字符串 '-c0'结尾的桶用于配置数据 - 以字符串 '-m0'结尾的桶用于元数据有关云单元命名的更多详细信息，请查看以下知识库文章：httpssupport.emc.com/kb/487833 您现在已完成创建与您的 Data Domain 系统集成的 S3 云单元，并准备开始为您的 Mtree 应用数据移动策略以将数据迁移到新创建的云层单元。