Data Domain Cloud Tier: integrazione di Data Domain con Amazon AWS S3

Il seguente articolo illustra i passaggi necessari per configurare le funzionalità del cloud tier di Data Domain con Amazon AWS S3.
Questa guida è suddivisa principalmente in 4 parti principali:

• Aggiunta delle credenziali utente Amazon AWS richieste da AWS "IAM"  
• Importazione del certificato CA per abilitare la comunicazione tra Data Domain e S3
• Aggiunta dell'unità cloud da Data Domain 
• Denominazione dell'unità cloud 

Prima: aggiunta delle credenziali

utente "IAM"Il primo passo per integrare Data Domain Cloud Tier con Amazon AWS S3 consiste nell'aggiungere le credenziali utente AWS richieste da AWS "IAM". Queste credenziali utente verranno importate nel sistema Data Domain per autorizzare la comunicazione con Amazon S3

Le credenziali utente AWS devono disporre delle autorizzazioni per:

• Creazione ed eliminazione di bucket
• Aggiungere, modificare ed eliminare i file all'interno dei bucket che creano.

S3FullAccess è preferibile, ma questi sono i requisiti minimi:

• Creare un bucket 
• ElencoBucket
• Eliminare un bucket
• ListAllMyBuckets
• Getobject
• Oggetto Put:
• Deleteobject

Un. Andare su https://aws.amazon.com/ e accedere alla console AWS o creare un nuovo account se è la prima volta:


B. Dall'angolo in alto a sinistra scegliere i servizi e cercare IAM (AWS Identity and Access Management ), in modo da poter creare e gestire utenti e gruppi AWS e utilizzare le autorizzazioni per consentire e negare il loro accesso alle risorse AWS:


C. Dalla pagina IAM, seleziona "utenti" dal menu a sinistra, quindi seleziona "aggiungi utente":


D. Assegnare un nome al nuovo utente, ad esempio: "DD_S3_cloudtier" .
Selezionare il tipo di accesso per concedere l'accesso a livello di codice, quindi cliccare su Next:
 

E. Assegnare a questo utente le autorizzazioni richieste per utilizzare le risorse S3. Selezionare aggiungi utente al gruppo, quindi selezionare Crea gruppo:


F. Assegnare un nome univoco al gruppo. Ad esempio: "S3FullAccess_DD_cloudtier", quindi cercare "AmazonS3FullAccess". Quando l'opzione viene visualizzata nel menu dei risultati, selezionarla, quindi fare clic su Crea gruppo: 


G. Verrà richiesto di tornare al menu precedente. Selezionare il gruppo appena creato "S3FullAccess_DD_cloudtier", quindi cliccare su Next Tags: 


H. Nel menu Verifica, controlla che i dettagli inseriti siano corretti, quindi fai clic su "Crea utente": 


I. raggiungiamo una pagina importante:
A questo punto sono disponibili l'utente "access key ID" e "secret access key". Verranno utilizzati per integrare Data Domain con le risorse S3. Cliccare su "download .csv" e salvare il file CSV in un luogo sicuro, quindi copiare l'ID della chiave di accesso e la chiave di accesso segreta perché verranno utilizzati in Data Domain:



Secondo: Importazione del certificato
CAÈ necessario importare il certificato CA per abilitare la comunicazione tra il sistema Data Domain e Amazon S3.

Un. Per scaricare il certificato root AWS, accedere a https://www.digicert.com/digicert-root-certificates.htm e selezionare il certificato Baltimore CyberTrust Root:

 

• Se il certificato scaricato dispone di un file . CRT, deve essere convertita in un certificato con codifica PEM. In tal caso, utilizzare OpenSSL per convertire il file dal formato .crt a .pem. Ad esempio, openssl x509 -inform der -in BaltimoreCyberTrustRoot.crt -out BaltimoreCyberTrustRoot.pem.
• Per ulteriori informazioni su come convertire il certificato in PEM, consultare il seguente articolo della Knowledge Base: https://support.emc.com/kb/488482

B. Accedere alla GUI di Data Domain e seguire la seguente procedura: 

• 1. Selezionare Data Management > File System > Cloud Units.
• 2. Nella barra degli strumenti, cliccare su Manage Certificates. Viene visualizzata la finestra di dialogo Manage Certificates for Cloud.
• 3. Fare clic su Add (Aggiungi).
• 4. Selezionare una delle seguenti opzioni:
  • Desidero caricare il certificato come file .pem.

•  Desidero copiare e incollare il testo del certificato.

                   Copiare il contenuto del file .pem nel buffer di copia.
                   Incollare il buffer nella finestra di dialogo.

• 5. Fare clic su Add (Aggiungi).

L'aggiunta del certificato CA è terminata. Aggiungere ora l'unità cloud S3 dalla GUI di Data Domain. 

Terzo:  Aggiunta dell'unità clout a Data Domain
Ecco un rapido confronto di alcune delle differenze tra le versioni di DDOS e le opzioni di cloud tier disponibili:
 

DDOS Versio	Capacità
6.0	Supporta solo la classe di "storage standard S3" Non dispone di un metodo di verifica del provider di cloud  Non supporta la funzionalità di grandi dimensioni degli oggetti
6.1	Supporta le classi di storage "standard" e "Standard-Infrequent Access (S3 Standard-IA)" 6.1.1.5 >= : Disporre del metodo di verifica del provider di cloud  Supporta funzionalità di object di grandi dimensioni
6.2	Supporto per "Standard", "Standard-IA" e "One Zone-Infrequent Access (S3 One Zone-IA)" Disporre del metodo di verifica del cloud  Supporta funzionalità di object di grandi dimensioni

 
dalla GUI di Data Domain, seguire questa procedura per aggiungere l'unità cloud S3:

• 1. Selezionare Data Management > File System > Cloud Units.
• 2. Fare clic su Add (Aggiungi). Viene visualizzata la finestra di dialogo Add Cloud Unit.
• 3. Immettere un nome per questa unità cloud. Sono consentiti solo caratteri alfanumerici. I campi rimanenti della finestra di dialogo Add Cloud Unit riguardano l'account del provider di cloud.
• 4. Per Cloud provider, selezionare Amazon Web Services S3 dall'elenco a discesa.
• 5. Selezionare la classe di storage dall'elenco a discesa. In base alla versione di DDOS, sono disponibili diverse opzioni in base alla tabella precedente.

           Ulteriori dettagli sulle diverse classi di storage S3 supportate sono disponibili al seguente link per scegliere quella più adatta alle proprie esigenze di backup:
           https://aws.amazon.com/s3/storage-classes/
           

• 6. Selezionare la Storage region appropriata dall'elenco a discesa.
• 7. Inserire la chiave di accesso del provider "as password text", quella ottenuta da amazon IAM nel passaggio 1. 
• 8. Inserire la chiave segreta del provider "come testo della password", quella ottenuta da amazon IAM nel passaggio 1.
• 9. Assicurarsi che la porta 443 (HTTPS) non sia bloccata nei firewall. La comunicazione con il provider di cloud AWS avviene sulla porta 443.
• 10. Se è necessario un server proxy HTTP per aggirare un firewall di questo provider, cliccare su Configure for HTTP Proxy Server. Immettere il nome host, la porta, l'utente e la password del proxy.

 

• 11. Se si dispone di DDOS >= 6.1.1.5, cliccare sul pulsante Cloud Verification.

         Ulteriori dettagli sullo strumento di verifica del cloud Data Domain sono disponibili qui: https://support.emc.com/kb/521796
          
Se la versione di DDOS è 6.0, cliccare su Add poiché l'opzione di verifica del cloud non è disponibile in questa versione. 

• 12. Fare clic su Add (Aggiungi). La finestra principale del File System ora visualizza le informazioni di riepilogo per la nuova unità cloud, nonché un controllo per abilitare e disabilitare l'unità cloud.
•  

Nota: Se necessario, è possibile aggiornare facilmente la chiave di accesso dell'unità cloud S3 e l'ID della chiave di accesso segreta dalla GUI di Data Domain.


Terzo:  Denominazione dell'unità
cloudSe torniamo ora ad Amazon S3, troviamo che il sistema Data Domain ha creato 3 bucket per questa unità cloud:


La convenzione di denominazione per i 3 bucket è la seguente:

• Stringa esadecimale di 16 caratteri.
• Un carattere trattino ('-').
• Un'altra stringa esadecimale di 16 caratteri, la stringa esadecimale è univoca per questa unità cloud.
• Un altro carattere trattino ('-').
• I bucket terminano con la stringa '-d0', '-c0' e '-m0'.
• Il bucket che termina con la stringa '-d0' viene utilizzato per i segmenti di dati.
• Il bucket che termina con la stringa '-c0' viene utilizzato per i dati di configurazione.
• Il bucket che termina con la stringa '-m0' viene utilizzato per i metadati.

Per ulteriori informazioni sulla denominazione delle unità cloud, consultare il seguente articolo della Knowledge Base: https://support.emc.com/kb/487833

A questo punto, la creazione dell'unità cloud S3 integrata con il sistema Data Domain è stata completata e si è pronti per iniziare ad applicare le policy di spostamento dei dati per gli MTree al fine di migrare i dati all'unità Cloud Tier appena creata.

• Per migliorare le funzionalità di cloud tiering, si consiglia di eseguire l'upgrade a DDOS 6.1.2.0 e versioni successive per trarre vantaggio dalla funzione "Large Object Size for Cloud Tier" aggiunta in queste versioni per una migliore ottimizzazione dei costi e dello spazio.

           Per ulteriori dettagli, consultare la KB seguente:https://support.emc.com/kb/522706
 

• Come rimuovere un unità cloud tier da Data Domain: Per ulteriori informazioni, consultare il seguente articolo della KB:https://support.emc.com/kb/488612

 

• Configurazione della policy di spostamento dei dati e ulteriori dettagli sul cloud tier:

           Consultare la seguente guida dell'amministratore (a partire da pagina 427 per la configurazione della policy di spostamento dei dati):
           https://support.emc.com/docu78746_Data-Domain-Operating-System-6.0-Administration-Guide.pdf?language=en_US
 

• Pulizia del Cloud Tier: Per ulteriori dettagli, consultare il seguente articolo della Knowledge Base:https://support.emc.com/kb/487657