Data Domain 雲端層：將 Data Domain 與 Amazon AWS S3 整合

下列文章將引導您完成使用 Amazon aws S3 設定 Data Domain 雲端層功能所需的步驟。
本指南主要分為4個主要部分：

• 從 aws「IAM」新增必要的 Amazon AWS 使用者憑證  
• 匯入 CA 憑證以啟用 Data Domain 與 S3 之間的通訊
• 從 Data Domain 新增雲端裝置 
• 雲端單元的命名 

第一：新增「IAM」使用者憑證

將 Data Domain 雲端層與 Amazon AWS S3 整合的第一步是從 aws「IAM」新增所需的 AWS 使用者憑證。此使用者憑證將匯入 Data Domain 系統，以授權與 Amazon S3

的通訊 AWS 使用者憑證必須具有以下權限：

• 建立與刪除容器
• 在其建立的儲存桶內新增、修改和刪除檔案。

S3FullAccess 是首選，但這些是最低要求：

• 建立容器 
• 清單容器
• 刪除容器
• ListAllMyBuckets
• 取得物件
• 放置物件
• 刪除物件

A.請轉至 https://aws.amazon.com/ 並登入 AWS 主控台，如果這是您第一次使用，請建立新帳戶：


B.從左上角選擇服務，然後搜索 IAM（AWS 身份和訪問管理 ），這樣我們就可以創建和管理 AWS 使用者和組，並使用許可權來允許和拒絕他們訪問 AWS 資源：


C。在 IAM 頁面的左側功能表中選取「使用者」，然後選取「新增使用者」：


D。為新使用者命名，例如：“DD_S3_cloudtier” .
選取存取類型以授予其編程存取權，然後按一下下一步：


E. 授予此使用者使用 S3 資源所需的許可權。選擇“將使用者添加到組”，然後選擇“創建組：


F”。為組指定唯一名稱。例如：「S3FullAccess_DD_cloudtier」，然後搜尋「AmazonS3FullAccess」當該選項出現在結果選單中時，請選取該選項，然後按一下建立群組：


G.系統將提示您返回上一個功能表。選取我們剛建立的群組「S3FullAccess_DD_cloudtier」，然後按一下「下一步標籤」：


H.在「檢閱」功能表上，請仔細檢查您輸入的詳細資料是否正確，然後按一下「建立使用者」：


一、我們到達一個重要的頁面：
您現在擁有使用者「存取金鑰 ID」和「秘密存取金鑰」。您將使用它們將 Data Domain 與您的 S3 資源整合。按一下「download .csv」並將此 CSV 檔案儲存在安全的位置，然後複製存取金鑰 ID 和秘密存取金鑰，因為我們會在 Data Domain 中使用它們：



第二：匯入 CA 憑證
您必須匯入 CA 憑證才能啟用 Data Domain 系統與 Amazon S3 之間的通訊。

A.若要下載 AWS 根憑證，請前往 https://www.digicert.com/digicert-root-certificates.htm 並選取 Baltimore CyberTrust 根憑證：

 

• 如果下載的憑證中有 .CRT 擴展，它必須轉換為 PEM 編碼的證書。如果是這樣，請使用 OpenSSL 將檔案從 .crt 格式轉換為 .pem。例如，openssl x509 -inform der -in BaltimoreCyberTrustRoot.crt -out BaltimoreCyberTrustRoot.pem。
• 您可以從下列 KB 文章中深入瞭解如何將憑證轉換為 PEM：https://support.emc.com/kb/488482

B.前往 Data Domain GUI 並按照下列程序操作： 

• 1.選取資料管理 > 檔案系統 > 雲端單元。
• 2.在工具列中，按一下管理憑證。管理雲端憑證對話方塊隨即顯示。
• 3.按一下新增。
• 4.選擇以下選項之一：
  • 我想要以 .pem 檔案的方式上傳憑證。

•  我想要複製並貼上憑證文字。

                   將 .pem 檔案的內容複製到複製緩衝區。
                   將緩衝區粘貼到對話框中。

• 5.按一下新增。

我們已完成添加 CA 證書。接下來，我們要從 Data Domain GUI 新增 S3 雲端單元

第三：  將 Controlup 單位新增至 Data Domain
以下是 DDOS 版本與其可用雲端層選項之間部分差異的快速比較：
 

DDOS 版本	能力
6.0	僅支援「S3 標準儲存裝置」類別 沒有雲端提供商驗證方法  不支援大型物件大小功能
6.1	支援「標準」和「標準-不頻繁存取 （S3 標準-IA）」儲存類別 6.1.1.5 >= ：具有雲端提供商驗證方法  支援大物件尺寸功能
6.2	支援「標準」、「標準低頻」及「單區-不頻繁存取 （S3 單區-低頻）」 具有雲端驗證方法  支援大物件尺寸功能

 
從 Data Domain GUI 中，按照此程序新增 S3 雲端裝置：

• 1.選取資料管理 > 檔案系統 > 雲端單元。
• 2.按一下新增。「新增雲端裝置」對話方塊隨即顯示。
• 3.輸入此雲單元的名稱。只允許使用字母數位字元。「新增雲端裝置」對話方塊中的其餘欄位則與雲端提供商帳戶相關。
• 4.對於雲供應商，從下拉清單中選擇亞馬遜雲科技 S3。
• 5.從下拉清單中選擇存儲類別。根據 DDOS 版本而定，您會根據上表找到不同的選項。

           從以下連結瞭解有關支援的不同 S3 儲存類別的更多詳細資訊，以選擇最適合您備份需求的存儲類別：
           https://aws.amazon.com/s3/storage-classes/
           

• 6.從下拉清單中選擇適當的存儲區域。
• 7.輸入供應商訪問金鑰“作為密碼文本”，這是我們在步驟 1 中從 Amazon IAM 獲得的金鑰。 
• 8.輸入提供者密鑰“作為密碼文本”，這是我們在步驟 1 中從 Amazon IAM 獲得的金鑰。
• 9.請確定防火牆未封鎖連接埠 443 （HTTPS）。與 AWS 雲端供應商的通訊發生在連接埠 443 上。
• 10.如果需要 HTTP 代理伺服器來繞過此提供程式的防火牆，請按下「為 HTTP 代理伺服器配置」。輸入代理主機名稱、連接埠、使用者和密碼。

 

• 11. 如果您的 DDOS >= 6.1.1.5，請按一下「雲端驗證」按鈕。

         如需 Data Domain 雲端驗證工具的詳細資料，請參閱這裡： https://support.emc.com/kb/521796
          
如果您的 DDOS 版本為 6.0，請按一下新增，因為此版本中未提供雲端驗證選項。 

• 12.按一下新增。File System Main 視窗現在會顯示新雲端裝置的摘要資訊，以及啟用和停用雲端裝置的控制項。
•  

注意：之後，如果需要，您可以輕鬆地從 Data Domain GUI 更新 S3 雲端單元存取金鑰和秘密存取金鑰 ID。


第三：  雲端單元
的命名如果我們現在回到 Amazon S3，我們會發現 Data Domain 系統為此雲端裝置建立了 3 個儲存桶：


3 個儲存桶的命名慣例如下：

• 16 個字元的十六進位字串。
• 短劃線字元 （“-”）。
• 另一個 16 個字元的十六進位字串， 十六進位字串對於此雲單元是唯一的。
• 另一個破折號字元 （“-”）。
• 儲存桶的結尾為字串「-d0」、「-c0」和「-m0」。
• 以字串“-d0”結尾的存儲桶用於數據細分。
• 以字串“-c0”結尾的存儲桶用於配置數據。
• 以字串“-m0”結尾的存儲桶用於元數據。

如需更多有關雲端單元命名的詳細資訊，請查看下列 KB 文章： https://support.emc.com/kb/487833

您現在已完成建立與 Data Domain 系統整合的 S3 雲端單元，並已準備好開始為 MTrees 套用資料移動原則，以將資料遷移到新建立的雲端層單元。

• 為了獲得更好的雲端層功能，我們建議升級至 DDOS 6.1.2.0 及更新版本，以受益於這些版本中新增的「雲端層的大型物件大小」功能，以達到更好的成本和空間最佳化。

           如需詳細資訊，請參閱下列 KB：https://support.emc.com/kb/522706
 

• 如何從 Data Domain 移除雲端層裝置：如需詳細資訊，請參閱下列 KB：https://support.emc.com/kb/488612

 

• 設定資料移動原則，以及有關雲端層的更多詳細資料：

           查看以下管理員指南（從數據移動策略配置的第 427 頁開始）：
           https://support.emc.com/docu78746_Data-Domain-Operating-System-6.0-Administration-Guide.pdf?language=en_US
 

• 雲端層清理：請查看下列知識文章以取得詳細資訊：https://support.emc.com/kb/487657