Data Domain Cloud Tier: integración de Data Domain con Amazon AWS S3

El siguiente artículo lo guía a través de los pasos necesarios para configurar las funcionalidades de nivel de nube de Data Domain con Amazon AWS S3.
Esta guía se divide principalmente en 4 partes principales:

• Adición de las credenciales de usuario de Amazon aws necesarias desde aws "IAM"  
• Importación del certificado de CA para habilitar la comunicación entre Data Domain y S3
• Adición de la unidad de nube desde Data Domain 
• Denominación de la unidad de nube 

Primero: Agregar credenciales de

usuario "IAM"El primer paso en la integración de Data Domain Cloud Tier con Amazon AWS S3 es agregar las credenciales de usuario de AWS necesarias desde aws "IAM". Esta información de identificación se importará al sistema Data Domain para autorizar la comunicación con Amazon S3

. La información de identificación de AWS debe tener permisos para:

• Crear y eliminar depósitos
• Agregue, modifique y elimine archivos dentro de los depósitos que crean.

Se recomienda S3FullAccess , pero estos son los requisitos mínimos:

• Creación de cubos 
• Depósito de lista
• Eliminar depósito
• ListAllMyBuckets (en inglés)
• Getobject
• Colocar objeto
• Eliminar objeto

Un. Vaya a https://aws.amazon.com/ e inicie sesión en la consola de AWS o cree una nueva cuenta si es su primera vez:


B. En la esquina superior izquierda, elija servicios y busque IAM (AWS Identity and Access Management), para que podamos crear y administrar usuarios y grupos de AWS, y usar permisos para permitir y denegar su acceso a los recursos de AWS:


C. En la página de IAM, seleccione "users" en el menú de la izquierda y, a continuación, seleccione "add user":


D. Asigne un nombre al nuevo usuario, por ejemplo: "DD_S3_cloudtier" .
Seleccione el tipo de acceso para otorgarle acceso mediante programación y, a continuación, haga clic en Next:
 

E. Otorgue a este usuario los permisos necesarios para utilizar los recursos de S3. Seleccione Agregar usuario al grupo y, a continuación, seleccione Crear grupo:


F. Proporcione un nombre único para el grupo. Por ejemplo: "S3FullAccess_DD_cloudtier" y, a continuación, busque "AmazonS3FullAccess". Cuando aparezca la opción en el menú de resultados, selecciónela y, a continuación, haga clic en Crear grupo: 


G. Se le pedirá que regrese al menú anterior. Seleccione el grupo que acabamos de crear "S3FullAccess_DD_cloudtier" y haga clic en Siguiente etiquetas: 


H. En el menú Review, verifique que los detalles que ingresó sean correctos y luego haga clic en "Crear usuario": 


I. llegamos a una página importante:
Ahora tiene el usuario "access key ID" y "secret access key". Los utilizará para integrar Data Domain con sus recursos de S3. Haga clic en "descargar .csv" y guarde este archivo CSV en un lugar seguro y copie el ID de clave de acceso y la clave de acceso secreta porque las usaremos en Data Domain:



Second: Importación del certificado
de CADebe importar el certificado de CA para habilitar la comunicación entre el sistema Data Domain y Amazon S3.

Un. Para descargar el certificado raíz de AWS, vaya a https://www.digicert.com/digicert-root-certificates.htm y seleccione el certificado Baltimore CyberTrust Root:

 

• Si el certificado descargado tiene un archivo . CRT, se debe convertir en un certificado codificado en PEM. Si la respuesta es afirmativa, use OpenSSL para convertir el archivo de formato .crt a .pem. Por ejemplo, openssl x509 -inform der -in BaltimoreCyberTrustRoot.crt -out BaltimoreCyberTrustRoot.pem.
• Puede obtener más información sobre cómo convertir el certificado a PEM en el siguiente artículo de la base de conocimientos: https://support.emc.com/kb/488482

B. Vaya a la GUI de Data Domain y siga el siguiente procedimiento: 

• 1. Seleccione Administración de datos > Sistema > de archivos Unidades de nube.
• 2. En la barra de herramientas, haga clic en Administrar certificados. Se muestra el cuadro de diálogo Administrar certificados para la nube.
• 3. Haga clic en Add (Agregar).
• 4. Seleccione una de estas opciones:
  • Deseo cargar el certificado como un archivo .pem.

•  Deseo copiar y pegar el texto del certificado.

                   Copie el contenido del archivo .pem en el búfer de copia.
                   Pegue el búfer en el cuadro de diálogo.

• 5. Haga clic en Add (Agregar).

Hemos terminado de agregar el certificado de CA. A continuación, agregaremos nuestra unidad de nube S3 desde la GUI de Data Domain. 

Tercero:  Adición de la unidad de influencia a Data Domain
A continuación, se presenta una comparación rápida de algunas de las diferencias entre las versiones de DDOS y sus opciones de nivel de nube disponibles:
 

DDOS Versio	Capacidades
6.0	Solo es compatible con la clase "almacenamiento estándar S3" No tiene un método de verificación del proveedor de servicio en la nube  No es compatible con la característica de tamaño de objeto grande
6.1	Es compatible con las clases de almacenamiento "estándar" y "Estándar-Acceso poco frecuente (S3 Estándar-Acceso poco frecuente)" 6.1.1.5 >= : Tener el método de verificación del proveedor de servicio en la nube  Es compatible con la función de tamaño de objeto grande
6.2	Es compatible con los modos "estándar", "estándar-IA" y "acceso poco frecuente en una zona (S3 One Zone-IA)" Tener el método de verificación en la nube  Es compatible con la función de tamaño de objeto grande

 
en la GUI de Data Domain, siga este procedimiento para agregar la unidad de nube de S3:

• 1. Seleccione Administración de datos > Sistema > de archivos Unidades de nube.
• 2. Haga clic en Add (Agregar). Se muestra el cuadro de diálogo Add Cloud Unit.
• 3. Ingrese un nombre para esta unidad de nube. Solo se permiten caracteres alfanuméricos. Los campos restantes en el cuadro de diálogo Add Cloud Unit pertenecen a la cuenta del proveedor de servicio en la nube.
• 4. Para Cloud provider, seleccione Amazon Web Services S3 en la lista desplegable.
• 5. Seleccione la clase de almacenamiento en la lista desplegable. Según la versión de DDOS, encontrará diferentes opciones basadas en la tabla anterior.

           Obtenga más detalles sobre las diferentes clases de almacenamiento de S3 compatibles en el siguiente enlace para elegir la clase de almacenamiento más adecuada para sus necesidades de respaldo:
           https://aws.amazon.com/s3/storage-classes/
           

• 6. Seleccione la región de almacenamiento adecuada en la lista desplegable.
• 7. Ingrese la clave de acceso del proveedor "como texto de contraseña", la que obtuvimos de amazon IAM en el paso 1. 
• 8. Ingrese la clave secreta del proveedor "como texto de contraseña", la que obtuvimos de amazon IAM en el paso 1.
• 9. Asegúrese de que el puerto 443 (HTTPS) no esté bloqueado en los firewalls. La comunicación con el proveedor de servicio en la nube de AWS se produce en el puerto 443.
• 10. Si se requiere un servidor proxy HTTP para eludir un firewall para este proveedor, haga clic en Configurar para servidor proxy HTTP. Ingrese el nombre de host del proxy, el puerto, el usuario y la contraseña.

 

• 11. Si tiene DDOS >= 6.1.1.5, haga clic en el botón Verificación de la nube.

         Puede encontrar más detalles sobre la herramienta de verificación en la nube de Data Domain aquí: https://support.emc.com/kb/521796
          
Si la versión de DDOS es 6.0, haga clic en Agregar, ya que la opción de verificación en la nube no está disponible en esta versión. 

• 12. Haga clic en Add (Agregar). Ahora, en la ventana principal del sistema de archivos, se muestra información de resumen de la nueva unidad de nube, además de un control para la habilitación y deshabilitación de la unidad de nube.
•  

Nota: Si es necesario, puede actualizar posteriormente la clave de acceso a la unidad de nube S3 y el ID de clave de acceso secreta desde la GUI de Data Domain.


Tercero:  Denominación de la unidad
de nubeSi volvemos ahora a Amazon S3, encontraremos que el sistema Data Domain creó 3 depósitos para esta unidad de nube:


La convención de nomenclatura para los 3 depósitos es la siguiente:

• Una cadena hexadecimal de 16 caracteres.
• Un carácter de guion ('-').
• Otra cadena hexadecimal de 16 caracteres, la cadena hexadecimal es única para esta unidad de nube.
• Otro carácter de guion ('-').
• Los depósitos terminarán con la cadena '-d0', '-c0' y '-m0'.
• El depósito que termina con la cadena "-d0" se utiliza para los segmentos de datos.
• El depósito que termina con la cadena "-c0" se utiliza para los datos de configuración.
• El depósito que termina con la cadena "-m0" se utiliza para los metadatos.

Para obtener más detalles sobre la denominación de las unidades de nube, consulte el siguiente artículo de la base de conocimientos: https://support.emc.com/kb/487833

Ya terminó de crear la unidad de nube S3 integrada con su sistema Data Domain y está listo para comenzar a aplicar políticas de transferencia de datos para sus MTrees a fin de migrar los datos a la unidad de nivel de nube recién creada.

• Para obtener mejores funcionalidades de nivel de nube, recomendamos actualizar a DDOS 6.1.2.0 y versiones posteriores para aprovechar la característica "Tamaño de objetos grandes para el nivel de nube" agregada en estas versiones para una mejor optimización del costo y el espacio.

           Consulte el siguiente artículo de la base de conocimientos para obtener más detalles:https://support.emc.com/kb/522706
 

• Cómo eliminar la unidad de nivel de nube de Data Domain: Consulte el siguiente artículo de la base de conocimientos para obtener más detalles:https://support.emc.com/kb/488612

 

• Configuración de la política de transferencia de datos y más detalles sobre el nivel de nube:

           Consulte la siguiente guía de administración (a partir de la página 427 para ver la configuración de la política de transferencia de datos):
           https://support.emc.com/docu78746_Data-Domain-Operating-System-6.0-Administration-Guide.pdf?language=en_US
 

• Limpieza de nivel de nube: Consulte el siguiente artículo de la base de conocimientos para obtener más detalles:https://support.emc.com/kb/487657