Data Domain Cloud Tier: integração do Data Domain com o Amazon AWS S3

O artigo a seguir orienta você pelas etapas necessárias para configurar os recursos do Data Domain Cloud Tier com o Amazon AWS S3.
Este guia é dividido principalmente em 4 partes principais:

• Como adicionar as credenciais de usuário necessárias da Amazon AWS a partir do "IAM" da AWS  
• Importar o certificado da CA para habilitar a comunicação entre o Data Domain e o S3
• Adicionando a unidade de nuvem a partir do Data Domain 
• Nomenclatura da unidade da nuvem 

Primeiro: adicionando credenciais

do usuário do "IAM"A primeira etapa na integração do Data Domain Cloud Tier com o Amazon AWS S3 é adicionar as credenciais de usuário do AWS necessárias do aws "IAM". Essas credenciais do usuário serão importadas para o sistema Data Domain para autorizar a comunicação com o Amazon S3

As credenciais do usuário do AWS devem ter permissões para:

• Criar e excluir buckets
• Adicione, modifique e exclua arquivos dentro dos buckets criados por eles.

O S3FullAccess é o preferido, mas estes são os requisitos mínimos:

• CreateBucket 
• ListBucket
• DeleteBucket
• ListAllMyBuckets
• GetObject
• PutObject
• ExcluirObjeto

Um. Acesse https://aws.amazon.com/ e faça log-in no console da AWS ou crie uma nova conta se esta for sua primeira vez:


B. No canto superior esquerdo, escolha serviços e pesquise IAM (AWS Identity and Access Management), para que possamos criar e gerenciar usuários e grupos da AWS e usar permissões para permitir e negar o acesso deles aos recursos da AWS:


C. Na página do IAM, selecione "usuários" no menu esquerdo e, em seguida, selecione " add user":


D. Dê um nome ao novo usuário, por exemplo: "DD_S3_cloudtier" .
Selecione o tipo de acesso para conceder acesso programático e clique em Avançar:
 

E. Conceda a esse usuário as permissões necessárias para usar recursos do S3. Selecione add user to group e, em seguida, selecione create group:


F. Dê um nome exclusivo para o grupo. Por exemplo: "S3FullAccess_DD_cloudtier" e, em seguida, procure "AmazonS3FullAccess". Quando a opção aparecer no menu de resultados, selecione-a e clique em Criar grupo: 


G. Você será solicitado de volta ao menu anterior. Selecione o grupo que acabamos de criar "S3FullAccess_DD_cloudtier" e clique em Next Tags: 


H. No menu Revisão, verifique novamente se os detalhes inseridos estão corretos e clique em "Criar usuário": 


I. chegamos a uma página importante:
Agora você tem o usuário "access key ID" e "secret access key". Você os usará para integrar o Data Domain aos recursos do S3. Clique em "download .csv" e salve este arquivo CSV em um local seguro e copie o ID da chave de acesso e a chave de acesso secreta, pois vamos usá-los no Data Domain:



Second: Importando o certificado
da CAVocê deve importar o certificado CA para habilitar a comunicação entre o sistema Data Domain e o Amazon S3.

Um. Para fazer download do certificado raiz da AWS, acesse https://www.digicert.com/digicert-root-certificates.htm e selecione Baltimore CyberTrust Root certificate:

 

• Se o certificado baixado tiver um arquivo . CRT, ela deve ser convertida em um certificado codificado por PEM. Nesse caso, use o OpenSSL para converter o arquivo do formato .crt para .pem. Por exemplo, openssl x509 -inform der -in BaltimoreCyberTrustRoot.crt -out BaltimoreCyberTrustRoot.pem.
• Você pode saber mais sobre como converter o certificado em PEM no seguinte artigo da base de conhecimento: https://support.emc.com/kb/488482

B. Vá para a GUI do Data Domain e siga o seguinte procedimento: 

• 1. Selecione Data Management > File System > Cloud Units.
• 2. Na barra de ferramentas, clique em Manage Certificates. A caixa de diálogo Manage Certificates for Cloud é exibida.
• 3. Clique em Add.
• 4. Selecione uma destas opções:
  • Quero carregar o certificado como um arquivo .pem.

•  Quero copiar e colar o texto do certificado.

                   Copie o conteúdo do arquivo .pem para o buffer de cópia.
                   Cole o buffer na caixa de diálogo.

• 5. Clique em Add.

Terminamos de adicionar o certificado da CA. Em seguida, vamos adicionar nossa unidade de nuvem S3 a partir da GUI do Data Domain. 

Terceiro:  Adicionando a unidade de influência ao Data Domain
Aqui está uma comparação rápida de algumas das diferenças entre as versões do DDOS e suas opções de nível de nuvem disponíveis:
 

 
na GUI do Data Domain , siga este procedimento para adicionar a unidade de nuvem do S3:

• 1. Selecione Data Management > File System > Cloud Units.
• 2. Clique em Add. A caixa de diálogo Add Cloud Unit é exibida.
• 3. Digite um nome para essa unidade de nuvem. Somente caracteres alfanuméricos são permitidos. Os campos restantes na caixa de diálogo Add Cloud Unit referem-se à conta do provedor de nuvem.
• 4. Para Cloud provider, selecione Amazon Web Services S3 na lista drop-down.
• 5. Selecione a classe de armazenamento na lista suspensa. Com base na versão do DDOS, você encontrará diferentes opções com base na tabela acima.

           Saiba mais detalhes sobre diferentes classes de armazenamento S3 compatíveis no link a seguir para escolher a classe de armazenamento mais adequada às suas necessidades de backup:
           https://aws.amazon.com/s3/storage-classes/
           

• 6. Selecione a região de armazenamento apropriada na lista drop-down.
• 7. Digite a chave de acesso do provedor "as password text", aquela que obtivemos do Amazon IAM na etapa 1. 
• 8. Digite a chave secreta do provedor "como texto de senha", aquela que obtivemos do Amazon IAM na etapa 1.
• 9. Certifique-se de que a porta 443 (HTTPS) não esteja bloqueada em firewalls. A comunicação com o provedor de nuvem AWS ocorre na porta 443.
• 10. Se um servidor proxy HTTP for necessário para contornar um firewall para esse provedor, clique em Configure para HTTP Proxy Server. Digite o nome de host, a porta, o usuário e a senha do proxy.

• 11. Se você tiver DDOS >= 6.1.1.5, clique no botão Cloud Verification.

         Mais detalhes sobre a ferramenta de verificação de nuvem do Data Domain podem ser encontrados aqui: https://support.emc.com/kb/521796
          
Se sua versão do DDOS for 6.0, clique em Adicionar, pois a opção de verificação em nuvem não está disponível nesta versão. 

• 12. Clique em Add. A janela principal do File System agora exibe informações resumidas para a nova unidade de nuvem, bem como um controle para habilitar e desabilitar a unidade de nuvem.
•  

Nota: Você pode atualizar facilmente a chave de acesso da unidade da nuvem do S3 e o ID da chave de acesso secreta pela GUI do Data Domain, se necessário.


Terceiro:  Nomenclatura da unidade da nuvem
Se voltarmos agora ao Amazon S3, descobriremos que o sistema Data Domain criou 3 buckets para essa unidade de nuvem:


A convenção de nomenclatura para os três buckets é a seguinte:

• Uma string hexadecimal de 16 caracteres.
• Um caractere de traço ('-').
• Outra string hexadecimal de 16 caracteres, a string hexadecimal é exclusiva para essa unidade de nuvem.
• Outro caractere de traço ('-').
• Os buckets terminarão com a string '-d0', '-c0' e '-m0'.
• O bucket que termina com a string '-d0' é usado para segmentos de dados.
• O bucket que termina com a string '-c0' é usado para dados de configuração.
• O bucket que termina com a string '-m0' é usado para metadados.

Agora você terminou de criar a unidade de nuvem S3 integrada ao seu sistema Data Domain e está pronto para começar a aplicar políticas de movimentação de dados para que seus Mtrees migrem os dados para a unidade de nível da nuvem recém-criada.

• Para obter melhores recursos no nível da nuvem, recomendamos fazer upgrade para o DDOS 6.1.2.0 e posterior a fim de aproveitar o recurso "Tamanho do objeto grande para o nível da nuvem" adicionado nessas versões a fim de melhorar o custo e a otimização do espaço.

           Verifique a seguinte KB para obter mais detalhes:https://support.emc.com/kb/522706
 

• Como remover a unidade de nível da nuvem do Data Domain: Verifique o seguinte artigo da KB para obter mais detalhes:https://support.emc.com/kb/488612

• Configuração da política de movimentação de dados e mais detalhes sobre o nível da nuvem:

           Consulte o seguinte guia de administração (a partir da página 427 para a configuração da política de movimentação de dados):
           https://support.emc.com/docu78746_Data-Domain-Operating-System-6.0-Administration-Guide.pdf?language=en_US
 

• Limpeza do nível da nuvem: Consulte o seguinte artigo da base de conhecimento para obter mais detalhes:https://support.emc.com/kb/487657