Data Domain Cloud-Tier: Integration von Data Domain in Amazon AWS S3

Der folgende Artikel führt Sie durch die erforderlichen Schritte zum Konfigurieren von Data Domain-Cloud-Tier-Funktionen mit Amazon AWS S3.
Dieser Leitfaden ist hauptsächlich in 4 Hauptteile unterteilt:

• Hinzufügen der erforderlichen Amazon AWS-Nutzeranmeldeinformationen von AWS "IAM"  
• Importieren des CA-Zertifikats, um die Kommunikation zwischen Data Domain und S3 zu ermöglichen
• Hinzufügen der Cloudeinheit aus Data Domain 
• Benennung der Cloudeinheit 

Erstens: Hinzufügen von "IAM"-Nutzerzugangsdaten

Der erste Schritt bei der Integration von Data Domain Cloud Tier in Amazon AWS S3 besteht darin, die erforderlichen AWS-Nutzeranmeldedaten von AWS "IAM" hinzuzufügen. Diese Nutzeranmeldedaten werden in das Data Domain-System importiert, um die Kommunikation mit dem Amazon S3

zu autorisieren. Die AWS-Nutzeranmeldedaten müssen über folgende Berechtigungen verfügen:

• Erstellen und Löschen von Buckets
• Hinzufügen, Ändern und Löschen von Dateien in den Buckets, die sie erstellen.

S3FullAccess wird bevorzugt, aber dies sind die Mindestanforderungen:

• Bucket erstellen 
• ListBucket
• Bucket löschen
• ListAllMyBuckets
• Getobject
• PutObject (Put-Objekt)
• Deleteobject

Eine. Gehen Sie zu https://aws.amazon.com/ und melden Sie sich bei der AWS-Konsole an oder erstellen Sie ein neues Konto, wenn Sie dies zum ersten Mal tun:


B. Wählen Sie in der oberen linken Ecke Services aus und suchen Sie nach IAM (AWS Identity and Access Management ), damit wir AWS-Benutzer und -Gruppen erstellen und verwalten und Berechtigungen verwenden können, um ihnen den Zugriff auf AWS-Ressourcen zu gewähren oder zu verweigern:


C. Wählen Sie auf der IAM-Seite im linken Menü "Benutzer" aus und wählen Sie dann "Benutzer hinzufügen":


D. Geben Sie Ihrem neuen Benutzer einen Namen, z. B.: "DD_S3_cloudtier" .
Wählen Sie den Zugriffstyp aus, um ihm programmatischen Zugriff zu gewähren, und klicken Sie dann auf Weiter:
 

E. Erteilen Sie diesem Nutzer die erforderlichen Berechtigungen für die Verwendung von S3-Ressourcen. Wählen Sie Nutzer zur Gruppe hinzufügen und dann Gruppe erstellen:


F aus. Geben Sie einen eindeutigen Namen für die Gruppe ein. Zum Beispiel: Klicken Sie auf "S3FullAccess_DD_cloudtier" und suchen Sie dann nach "AmazonS3FullAccess". Wenn die Option im Ergebnismenü angezeigt wird, wählen Sie sie aus und klicken Sie dann auf Gruppe erstellen: 


G. Sie werden aufgefordert, zum vorherigen Menü zurückzukehren. Wählen Sie die Gruppe aus, die wir gerade erstellt haben, "S3FullAccess_DD_cloudtier", und klicken Sie dann auf "Weiter". Tags: 


H. Überprüfen Sie im Menü "Review", ob die eingegebenen Details korrekt sind, und klicken Sie dann auf "Create User": 


I. Wir erreichen eine wichtige Seite:
Sie haben nun den Benutzer "Zugriffsschlüssel-ID" und "geheimen Zugriffsschlüssel". Sie verwenden sie, um Data Domain in Ihre S3-Ressourcen zu integrieren. Klicken Sie auf "Download .csv" und speichern Sie diese CSV-Datei an einem sicheren Ort. Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel, da wir sie in Data Domain verwenden werden:



Sekunde: Zertifizierungsstellenzertifikat
importierenSie müssen das CA-Zertifikat importieren, um die Kommunikation zwischen Ihrem Data Domain-System und Amazon S3 zu ermöglichen.

Eine. Um das AWS-Stammzertifikat herunterzuladen, gehen Sie zu https://www.digicert.com/digicert-root-certificates.htm und wählen Sie das Zertifikat Baltimore CyberTrust Root aus:

 

• Wenn Ihr heruntergeladenes Zertifikat eine . CRT verwenden, muss sie in ein PEM-kodiertes Zertifikat konvertiert werden. Wenn dies der Fall ist, verwenden Sie OpenSSL, um die Datei aus dem .crt-Format in das .pem-Format zu konvertieren. Beispiel: openssl x509 -inform der -in BaltimoreCyberTrustRoot.crt -out BaltimoreCyberTrustRoot.pem.
• Weitere Informationen zum Konvertieren des Zertifikats in PEM finden Sie im folgenden KB-Artikel: https://support.emc.com/kb/488482

B. Rufen Sie die Data Domain-GUI auf und befolgen Sie das folgende Verfahren: 

• 1. Wählen Sie Data Management > File System > Cloud Units aus.
• 2. Klicken Sie in der Symbolleiste auf Manage Certificates. Das Dialogfeld "Manage Certificates for Cloud" wird angezeigt.
• 3. Klicken Sie auf Hinzufügen.
• 4. Wählen Sie eine der folgenden Optionen:
  • Ich möchte das Zertifikat als .pem-Datei hochladen.

•  Ich möchte den Zertifikattext kopieren und einfügen.

                   Kopieren Sie den Inhalt der .pem-Datei in Ihren Kopierpuffer.
                   Fügen Sie den Puffer in das Dialogfeld ein.

• 5. Klicken Sie auf Hinzufügen.

Damit ist das Hinzufügen des CA-Zertifikats abgeschlossen. Als Nächstes fügen wir unsere S3-Cloudeinheit über die Data Domain-GUI hinzu. 

Dritte:  Hinzufügen der Clout-Einheit zu Data Domain
Hier ist ein kurzer Vergleich einiger der Unterschiede zwischen DDOS-Versionen und ihren verfügbaren Cloud-Tier-Optionen:
 

DDOS-Version	Capabilites
6.0	Unterstützt nur die Klasse "S3-Standardspeicher" Verfügt nicht über eine Verifizierungsmethode für Cloud-Anbieter  Unterstützt keine Funktion für große Objektgrößen
6.1	Unterstützt die Storage-Klassen "Standard" und "Standard-Infrequent Access (S3 Standard-IA)" 6.1.1.5 >= : Lassen Sie die Verifizierungsmethode des Cloud-Anbieters  Unterstützt Funktion für große Objektgrößen
6.2	Unterstützt "Standard", "Standard-IA" und "One Zone-Infrequent Access (S3 One Zone-IA)" Verwenden Sie die Cloud-Verifizierungsmethode  Unterstützt Funktion für große Objektgrößen

 
Befolgen Sie in der Data Domain-GUI dieses Verfahren, um die S3-Cloudeinheit hinzuzufügen:

• 1. Wählen Sie Data Management > File System > Cloud Units aus.
• 2. Klicken Sie auf Hinzufügen. Das Dialogfeld Add Cloud Unit wird angezeigt.
• 3. Geben Sie einen Namen für diese Cloudeinheit ein. Es sind nur alphanumerische Zeichen zulässig. Die übrigen Felder im Dialogfeld Add Cloud Unit beziehen sich auf das Cloudanbieterkonto.
• 4. Wählen Sie für Cloud provider die Option Amazon Web Services S3 aus der Dropdown-Liste aus.
• 5. Wählen Sie die Storage-Klasse aus der Drop-down-Liste aus. Basierend auf der Version des DDOS finden Sie verschiedene Optionen basierend auf der obigen Tabelle.

           Weitere Informationen zu den verschiedenen unterstützten S3-Speicherklassen finden Sie unter dem folgenden Link, um die Speicherklasse auszuwählen, die für Ihre Backupanforderungen am besten geeignet ist:
           https://aws.amazon.com/s3/storage-classes/
           

• 6. Wählen Sie die entsprechende Storage region aus der Drop-down-Liste aus.
• 7. Geben Sie den Zugriffsschlüssel des Anbieters "als Kennworttext" ein, den wir in Schritt 1 von Amazon IAM erhalten haben. 
• 8. Geben Sie den geheimen Schlüssel des Anbieters "als Kennworttext" ein, den wir in Schritt 1 von Amazon IAM erhalten haben.
• 9. Stellen Sie sicher, dass Port 443 (HTTPS) nicht in Firewalls blockiert wird. Die Kommunikation mit dem AWS-Cloudanbieter erfolgt auf Port 443.
• 10. Wenn ein HTTP-Proxyserver erforderlich ist, um eine Firewall für diesen Anbieter zu umgehen, klicken Sie auf Configure für HTTP Proxy Server. Geben Sie den Hostnamen, den Port, den Nutzer und das Kennwort des Proxys ein.

 

• 11. Wenn Sie DDOS >= 6.1.1.5 verwenden, klicken Sie auf die Schaltfläche "Cloud Verification".

         Weitere Informationen zum Data Domain-Cloud-Verifizierungstool finden Sie hier: https://support.emc.com/kb/521796
          
Wenn Ihre DDOS-Version 6.0 ist, klicken Sie auf "Hinzufügen", da die Cloud-Verifizierungsoption in dieser Version nicht verfügbar ist. 

• 12. Klicken Sie auf Hinzufügen. Das Hauptfenster des Dateisystems zeigt jetzt zusammenfassende Informationen für die neue Cloudeinheit sowie ein Steuerelement zum Aktivieren und Deaktivieren der Cloudeinheit an.
•  

Hinweis: Sie können den Zugriffsschlüssel der S3-Cloudeinheit und die ID des geheimen Zugriffsschlüssels bei Bedarf problemlos über die Data Domain-GUI aktualisieren.


Dritte:  Benennung der Cloudeinheit
Wenn wir nun zu Amazon S3 zurückkehren, werden wir feststellen, dass das Data Domain-System 3 Buckets für diese Cloudeinheit erstellt hat:


Die Namenskonvention für die 3 Buckets lautet wie folgt:

• Eine hexadezimale Zeichenfolge mit 16 Zeichen.
• Ein Bindestrich ('-').
• Die hexadezimale Zeichenfolge besteht aus weiteren 16 Zeichen und ist für diese Cloudeinheit eindeutig.
• Ein weiteres Bindestrichzeichen ('-').
• Die Buckets enden mit der Zeichenfolge "-d0", "-c0" und "-m0".
• Der Bucket, der mit der Zeichenfolge "-d0" endet, wird für Datensegmente verwendet.
• Der Bucket, der mit der Zeichenfolge "-c0" endet, wird für Konfigurationsdaten verwendet.
• Der Bucket, der mit der Zeichenfolge "-m0" endet, wird für Metadaten verwendet.

Weitere Informationen zur Benennung der Cloud-Einheiten finden Sie im folgenden Wissensdatenbank-Artikel: https://support.emc.com/kb/487833

Sie sind nun mit der Erstellung der S3-Cloudeinheit fertig, die in Ihr Data Domain-System integriert ist, und können mit der Anwendung von Datenverschiebungs-Policies für Ihre MTrees beginnen, um die Daten auf die neu erstellte Cloud-Tier-Einheit zu migrieren.

• Für bessere Cloud-Tier-Funktionen empfehlen wir, ein Upgrade auf DDOS 6.1.2.0 und höher durchzuführen, um von der in diesen Versionen hinzugefügten Funktion "Large Object Size for Cloud Tier" zur besseren Kosten- und Speicherplatzoptimierung zu profitieren.

           Weitere Informationen finden Sie im folgenden Wissensdatenbank-Artikel:https://support.emc.com/kb/522706
 

• So entfernen Sie eine Cloud-Tier-Einheit aus Data Domain: Weitere Informationen finden Sie im folgenden Wissensdatenbank-Artikel:https://support.emc.com/kb/488612

 

• Konfigurieren der Datenverschiebungs-Policy und weitere Details zu Cloud-Tier:

           Lesen Sie das folgende Administratorhandbuch (ab Seite 427 für die Konfiguration der Datenverschiebungs-Policy):
           https://support.emc.com/docu78746_Data-Domain-Operating-System-6.0-Administration-Guide.pdf?language=en_US
 

• Cloud-Tier-Bereinigung: Weitere Informationen finden Sie im folgenden KB-Artikel https://support.emc.com/kb/487657