Data Domain 云层:将 Data Domain 与 Amazon AWS S3 集成
Summary: 本知识库文章将指导您完成将 Data Domain 与 Amazon AWS S3 集成以实现云层容量的过程。
This article applies to
This article does not apply to
Instructions
以下文章将指导您完成使用 Amazon AWS S3 配置 Data Domain 云层功能所需的步骤。
本指南主要分为 4 个主要部分:
将 Data Domain 云层与 Amazon AWS S3 集成的第一步是从 aws“IAM”添加所需的 AWS 用户凭据。此用户凭据将导入到 Data Domain 系统,以授权与 Amazon S3
通信AWS 用户凭据必须具有以下权限:
B.从左上角选择 services,然后搜索 IAM (AWS Identity and Access Management),以便我们可以创建和管理 AWS 用户和组,并使用权限来允许和拒绝他们对 AWS 资源的访问:
C。从 IAM 页面中,从左侧菜单中选择“users”,然后选择“add user”:
D。为新用户指定一个名称,例如:“DD_S3_cloudtier”。
选择要为其提供编程访问权限的访问类型,然后单击 Next:
E. 向此用户授予使用 S3 资源所需的权限。选择将用户添加到组,然后选择创建组:
F。为该组指定唯一名称。例如:输入“S3FullAccess_DD_cloudtier”,然后搜索“AmazonS3FullAccess”。当结果菜单中显示该选项时,选择它,然后单击 Create group:
G。系统将提示您返回上一菜单。选择我们刚刚创建的组“S3FullAccess_DD_cloudtier”,然后单击 Next Tags:
H。在“Review”菜单上,仔细检查您输入的详细信息是否正确,然后单击“Create user”:
I. 我们到达一个重要的页面:
您现在拥有了用户的“access key ID”和“secret access key”。您将使用它们将 Data Domain 与您的 S3 资源集成。单击“download .csv”并将此 CSV 文件保存在安全的位置,并复制访问密钥 ID 和秘密访问密钥,因为我们将在 Data Domain:Second 中用到它们:
导入 CA 证书
您必须导入 CA 证书才能启用 Data Domain 系统与 Amazon S3 之间的通信。
A.要下载 AWS 根证书,请转至 https://www.digicert.com/digicert-root-certificates.htm,然后选择 Baltimore CyberTrust 根证书:
B。转至 Data Domain GUI 并按照以下过程操作:
将缓冲区粘贴到对话框中。
我们完成了 CA 证书的添加。接下来,我们将从 Data Domain GUI 添加 S3 云单元。
第三: 将法规影响力单位添加到 Data Domain
以下是 DDOS 版本及其可用云层选项之间的一些差异的快速比较:
从 Data Domain GUI 中,按照以下步骤添加 S3 云单元:
https://aws.amazon.com/s3/storage-classes/
如果您的 DDOS 版本为 6.0,则单击 Add,因为此版本中不提供云验证选项。
第三: 云单元
的命名如果我们现在返回到 Amazon S3,我们会发现 Data Domain 系统为此云单元创建了 3 个存储区:
这 3 个存储区的命名约定如下:
您现在已完成创建与您的 Data Domain 系统集成的 S3 云单元,并准备好开始应用 Mtree 的数据移动策略,以将数据迁移到新创建的云层单元。
本指南主要分为 4 个主要部分:
- 从 aws“IAM”添加所需的 Amazon AWS 用户凭证
- 导入 CA 证书以启用 Data Domain 与 S3 之间的通信
- 从 Data Domain 添加云单元
- 云单元的命名
将 Data Domain 云层与 Amazon AWS S3 集成的第一步是从 aws“IAM”添加所需的 AWS 用户凭据。此用户凭据将导入到 Data Domain 系统,以授权与 Amazon S3
通信AWS 用户凭据必须具有以下权限:
- 创建和删除存储区
- 在他们创建的存储区中添加、修改和删除文件。
- CreateBucket
- ListBucket
- DeleteBucket
- ListAllMyBuckets
- GetObject
- PutObject
- DeleteObject
B.从左上角选择 services,然后搜索 IAM (AWS Identity and Access Management),以便我们可以创建和管理 AWS 用户和组,并使用权限来允许和拒绝他们对 AWS 资源的访问:
C。从 IAM 页面中,从左侧菜单中选择“users”,然后选择“add user”:
D。为新用户指定一个名称,例如:“DD_S3_cloudtier”。
选择要为其提供编程访问权限的访问类型,然后单击 Next:
E. 向此用户授予使用 S3 资源所需的权限。选择将用户添加到组,然后选择创建组:
F。为该组指定唯一名称。例如:输入“S3FullAccess_DD_cloudtier”,然后搜索“AmazonS3FullAccess”。当结果菜单中显示该选项时,选择它,然后单击 Create group:
G。系统将提示您返回上一菜单。选择我们刚刚创建的组“S3FullAccess_DD_cloudtier”,然后单击 Next Tags:
H。在“Review”菜单上,仔细检查您输入的详细信息是否正确,然后单击“Create user”:
I. 我们到达一个重要的页面:
您现在拥有了用户的“access key ID”和“secret access key”。您将使用它们将 Data Domain 与您的 S3 资源集成。单击“download .csv”并将此 CSV 文件保存在安全的位置,并复制访问密钥 ID 和秘密访问密钥,因为我们将在 Data Domain:Second 中用到它们:
导入 CA 证书
您必须导入 CA 证书才能启用 Data Domain 系统与 Amazon S3 之间的通信。
A.要下载 AWS 根证书,请转至 https://www.digicert.com/digicert-root-certificates.htm,然后选择 Baltimore CyberTrust 根证书:
- 如果您下载的证书具有 .CRT 扩展名,则必须转换为 PEM 编码的证书。如果是这样,请使用 OpenSSL 将文件从 .crt 格式转换为 .pem。例如,openssl x509 -inform der -in BaltimoreCyberTrustRoot.crt -out BaltimoreCyberTrustRoot.pem。
- 您可以从以下知识库文章中了解有关如何将证书转换为 PEM 的更多信息:https://support.emc.com/kb/488482
B。转至 Data Domain GUI 并按照以下过程操作:
- 1.选择Data ManagementFile > SystemCloud > Units。
- 2.在工具栏中,单击Manage Certificates。此时将显示Manage Certificates for Cloud对话框。
- 3.单击 Add。
- 4.选择以下选项之一:
- 我想以 .pem 文件的形式上传证书。
浏览并选择证书文件。
- 我想复制并粘贴证书文本。
将缓冲区粘贴到对话框中。
- 5.单击 Add。
我们完成了 CA 证书的添加。接下来,我们将从 Data Domain GUI 添加 S3 云单元。
第三: 将法规影响力单位添加到 Data Domain
以下是 DDOS 版本及其可用云层选项之间的一些差异的快速比较:
| DDOS 版本 | 能力 |
|---|---|
| 6.0 |
|
| 6.1 |
|
| 6.2 |
|
从 Data Domain GUI 中,按照以下步骤添加 S3 云单元:
- 1.选择Data ManagementFile > SystemCloud > Units。
- 2.单击 Add。此时将显示Add Cloud Unit对话框。
- 3.输入此云单元的名称。仅允许使用字母数字字符。Add Cloud Unit对话框中的剩余字段与云提供商帐户相关。
- 4.对于 Cloud provider,从下拉列表中选择 Amazon Web Services S3。
- 5.从下拉列表中选择存储类。根据 DDOS 的版本,您将根据上表找到不同的选项。
https://aws.amazon.com/s3/storage-classes/
- 6.从下拉列表中选择相应的存储区域。
- 7.输入提供商的访问密钥“作为密码文本”,即我们在步骤 1 中从 Amazon IAM 获得的密钥。
- 8.输入提供商的密钥“作为密码文本”,即我们在步骤 1 中从 Amazon IAM 获得的密钥。
- 9.确保防火墙未阻止端口 443 (HTTPS)。与 AWS 云提供商的通信发生在端口 443 上。
- 10.如果需要 HTTP 代理服务器来绕过此提供程序的防火墙,请单击 HTTP 代理服务器的配置。输入代理主机名、端口、用户和密码。
- 11. 如果您的 DDOS >= 6.1.1.5,则单击 Cloud Verification按钮。
如果您的 DDOS 版本为 6.0,则单击 Add,因为此版本中不提供云验证选项。
- 12.单击 Add。文件系统主窗口现在显示新云单元的摘要信息,以及用于启用和禁用云单元的控件。
第三: 云单元
的命名如果我们现在返回到 Amazon S3,我们会发现 Data Domain 系统为此云单元创建了 3 个存储区:
这 3 个存储区的命名约定如下:
- 16 个字符的十六进制字符串。
- 破折号字符 ('-')。
- 另一个 16 个字符的十六进制字符串, 该十六进制字符串对于此云单元是唯一的。
- 另一个破折号字符 ('-')。
- 存储区将以字符串“-d0”、“-c0”和“-m0”结尾。
- 以字符串“-d0”结尾的存储区用于数据段。
- 以字符串“-c0”结尾的存储区用于配置数据。
- 以字符串“-m0”结尾的存储区用于元数据。
您现在已完成创建与您的 Data Domain 系统集成的 S3 云单元,并准备好开始应用 Mtree 的数据移动策略,以将数据迁移到新创建的云层单元。
Additional Information
- 为了获得更好的云层功能,我们建议升级到 DDOS 6.1.2.0 及更高版本,以受益于这些版本中添加的“云层的大对象大小”功能,从而更好地优化成本和空间。
- 如何从 Data Domain 中删除云层单元:有关更多详细信息,请查看以下知识库文章:https://support.emc.com/kb/488612
- 配置数据移动策略,以及有关云层的更多详细信息:
https://support.emc.com/docu78746_Data-Domain-Operating-System-6.0-Administration-Guide.pdf?language=en_US
- 云层清理:有关更多详细信息,请查看以下知识库文章:https://support.emc.com/kb/487657