Облачный уровень Data Domain: интеграция Data Domain с Amazon AWS S3

В следующей статье описаны необходимые шаги для настройки возможностей Cloud Tier Data Domain с помощью Amazon AWS S3.
Это руководство в основном разделено на 4 основные части:

• Добавление необходимых учетных данных пользователя Amazon AWS из AWS «IAM»  
• Импорт сертификата CA для обеспечения связи между Data Domain и S3
• Добавление облачного модуля из Data Domain 
• Присвоение имени облачному модулю 

Первый: добавление учетных

данных пользователя «IAM»Первым шагом в интеграции облачного уровня Data Domain с Amazon AWS S3 является добавление необходимых учетных данных пользователя AWS из AWS «IAM». Эти учетные данные пользователя будут импортированы в систему Data Domain для авторизации связи с Amazon S3

. Учетные данные пользователя AWS должны иметь следующие разрешения:

• Создание и удаление контейнеров
• Добавляйте, изменяйте и удаляйте файлы в созданных контейнерах.

Предпочтительнее использовать S3FullAccess , но вот минимальные требования:

• CreateBucket (СоздатьКонтейнер) 
• ListBucket (ЛистКонтейнер)
• DeleteBucket (Удалить контейнер)
• ListAllMyBuckets
• Getobject
• PutObject (Объект размещения)
• DeleteObject (Объект удаления)

A. Перейдите в https://aws.amazon.com/ и войдите в консоль AWS или создайте новый аккаунт, если это первый раз:


B. В левом верхнем углу выберите «Сервисы» и выполните поиск по запросу IAM (AWS Identity and Access Management), чтобы создавать пользователей и группы AWS и управлять ими, а также использовать разрешения для разрешения и отказа в доступе к ресурсам AWS:


C. На странице IAM выберите «users» в меню слева, затем нажмите «Add user»:


D. Присвойте новому пользователю имя, например: «DD_S3_cloudtier».
Выберите тип доступа, чтобы предоставить программный доступ, затем нажмите Далее:
 

Д. Предоставьте этому пользователю необходимые разрешения на использование ресурсов S3. Выберите Добавить пользователя в группу , а затем выберите Создать группу:


F. Присвойте группе уникальное имя. Пример. «S3FullAccess_DD_cloudtier», а затем выполните поиск по запросу «AmazonS3FullAccess». Когда в меню результатов появится параметр, выберите его и нажмите Создать группу: 


Г. Вам будет предложено вернуться в предыдущее меню. Выберите группу, которую мы только что создали, «S3FullAccess_DD_cloudtier», затем нажмите «Следующие теги»: 


H. В меню Просмотр еще раз проверьте правильность введенных сведений и нажмите «Создать пользователя». 


I. Мы подходим к важной странице:
Теперь у вас есть идентификатор ключа доступа и секретный ключ доступа. Они будут использоваться для интеграции Data Domain с ресурсами S3. Нажмите «скачать .csv», сохраните этот CSV-файл в безопасном месте и скопируйте идентификатор ключа доступа и секретный ключ доступа, потому что мы будем использовать их в Data Domain:



Второе: Импорт сертификата
источника сертификатовЧтобы обеспечить связь между системой Data Domain и Amazon S3, необходимо импортировать сертификат CA.

A. Чтобы скачать корневой сертификат AWS, перейдите в https://www.digicert.com/digicert-root-certificates.htm и выберите корневой сертификат Baltimore CyberTrust:

 

• Если скачанный сертификат имеет домен . CRT, оно должно быть преобразовано в сертификат в кодировке PEM. Если да, используйте OpenSSL для преобразования файла из формата .crt в .pem. Например, openssl x509 -inform der -in BaltimoreCyberTrustRoot.crt -out BaltimoreCyberTrustRoot.pem.
• Дополнительные сведения о преобразовании сертификата в PEM можно найти в следующей статье базы знаний: https://support.emc.com/kb/488482

B. Перейдите в графический интерфейс пользователя Data Domain и выполните следующие действия. 

• 1. Выберите Облачные > единицы файловой системы > управления данными.
• 2. На панели инструментов нажмите Управление сертификатами. Откроется диалоговое окно Управление сертификатами для облака.
• 3. Нажмите Add.
• 4. Выберите один из следующих вариантов:
  • Я хочу загрузить сертификат в виде файла .pem.

•  Я хочу скопировать и вставить текст сертификата.

                   Скопируйте содержимое файла .pem в буфер копии.
                   Вставьте буфер в диалоговое окно.

• 5. Нажмите Add.

На этом добавление сертификата CA завершено. Далее мы добавим облачное устройство S3 из графического интерфейса Data Domain. 

Третий:  Добавление подразделения влияния в Data Domain
Ниже приведено краткое сравнение некоторых различий между версиями DDOS и доступными для них вариантами Cloud Tier:
 

DDOS Versio	Возможности
6.0	Поддерживает только класс "S3 Standart Storage" Нет метода проверки поставщика облачных услуг  Не поддерживает функцию больших размеров объекта
6.1	Поддержка классов хранения "Standard" и "Standard Infrequent Access (S3 Standard-IA)" 6.1.1.5 >= : Выберите метод проверки поставщика облачных услуг  Поддержка объектов большого размера
6.2	Поддержка "Standard", "Standard-IA" и "One Zone-Infrequent Access (S3 One Zone-IA)" Используйте метод проверки в облаке.  Поддержка объектов большого размера

 
в графическом интерфейсе пользователя Data Domain выполните следующие действия, чтобы добавить облачный модуль S3:

• 1. Выберите Облачные > единицы файловой системы > управления данными.
• 2. Нажмите Add. Откроется диалоговое окно «Add Cloud Unit».
• 3. Введите имя для этого облачного устройства. Допустимы только буквенно-цифровые символы. Остальные поля в диалоговом окне «Add Cloud Unit» относятся к учетной записи поставщика облачных услуг.
• 4. Для поставщика облачных услуг выберите Amazon Web Services S3 в раскрывающемся списке.
• 5. Выберите класс хранилища в раскрывающемся списке. В зависимости от версии DDOS вы найдете различные варианты, описанные в таблице выше.

           Чтобы узнать больше о различных поддерживаемых классах хранения S3, перейдите по следующей ссылке, чтобы выбрать класс хранилища, наиболее подходящий для ваших потребностей в резервном копировании:
           https://aws.amazon.com/s3/storage-classes/
           

• 6. Выберите соответствующий регион хранения в раскрывающемся списке.
• 7. Введите ключ доступа поставщика в качестве пароля, который мы получили от Amazon IAM на шаге 1. 
• 8. Введите секретный ключ поставщика «в виде пароля», который мы получили от amazon IAM на шаге 1.
• 9. Убедитесь, что порт 443 (HTTPS) не заблокирован в межсетевых экранах. Связь с поставщиком облачных решений AWS осуществляется через порт 443.
• 10. Если для обхода межсетевого экрана для этого поставщика требуется прокси-сервер HTTP, нажмите Настроить для прокси-сервера HTTP. Введите имя хоста, порт, пользователя и пароль прокси-сервера.

 

• 11. Если у вас используется DDOS >= 6.1.1.5, нажмите кнопку Cloud Verification.

         Дополнительные сведения об инструменте облачной верификации Data Domain можно найти здесь: https://support.emc.com/kb/521796
          
Если у вас версия DDOS 6.0, нажмите «Добавить», так как в этом выпуске параметр облачной проверки недоступен. 

• 12. Нажмите Add. В главном окне файловой системы теперь отображается сводная информация для нового облачного модуля, а также элемент управления для включения и отключения облачного модуля.
•  

Примечание.: При необходимости вы можете легко обновить ключ доступа к облачному блоку S3 и идентификатор секретного ключа доступа с помощью графического интерфейса пользователя Data Domain.


Третий:  Присвоение имени облачному модулю
Если мы вернемся к Amazon S3, мы обнаружим, что система Data Domain создала 3 контейнера для этого облачного блока:


Правила именования для 3 контейнеров следующие:

• Шестнадцатеричная строка из 16 символов.
• Символ тире ('-').
• Еще одна шестнадцатеричная строка из 16 символов, шестнадцатеричная строка уникальна для этой единицы облака.
• Еще один символ тире ('-').
• Сегменты будут заканчиваться строкой «-d0», «-c0» и «-m0».
• Для сегментов данных используется контейнер, заканчивающийся строкой «-d0».
• Контейнер, заканчивающийся строкой «-c0», используется для данных конфигурации.
• Контейнер, заканчивающийся строкой «-m0», используется для метаданных.

Дополнительные сведения о присвоении имен облачным модулям см. в следующей статье базы знаний: https://support.emc.com/kb/487833

Теперь вы завершили создание облачного модуля S3, интегрированного с вашей системой Data Domain, и готовы начать применять политики перемещения данных для MTrees, чтобы перенести данные во вновь созданную единицу облачного уровня.

• Для улучшения возможностей уровней облака рекомендуется выполнить обновление до DDOS 6.1.2.0 или более поздних версий, чтобы воспользоваться преимуществами функции «Large Object Size for Cloud Tier», добавленной в этих выпусках, для лучшей оптимизации затрат и пространства.

           Дополнительные сведения см. в следующей статье базы знаний https://support.emc.com/kb/522706
 

• Как удалить единицу облачного уровня из Data Domain: Дополнительные сведения см. в следующей статье базы знаний https://support.emc.com/kb/488612

 

• Настройка политики перемещения данных и дополнительные сведения о Cloud Tier:

           Конфигурацию политики перемещения данных см. в следующем руководстве администратора (начиная со стр. 427):
           https://support.emc.com/docu78746_Data-Domain-Operating-System-6.0-Administration-Guide.pdf?language=en_US
 

• Очистка облачного уровня: Дополнительные сведения см. в следующей статье базы знаний: https://support.emc.com/kb/487657