Avamar: Jak zarządzać bezpieczeństwem sesji za pomocą pakietu instalacyjnego Avinstaller (AVP)

Summary: W tym artykule wyjaśniono, w jaki sposób zarządzać ustawieniami zabezpieczeń sesji Avamar za pomocą pakietu instalacyjnego Avinstaller (AVP).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Ostrzeżenie: Uruchomienie procedury AVP zabezpieczeń sesji może spowodować ponowne uruchomienie usługi konsoli zarządzania (MCS)
 

1. Pobierz AVP zabezpieczeń sesji:

A. Przejdź do łącza pomocy technicznej dotyczącej produktu Dell 

B. Zaloguj się, aby wyświetlić pliki do pobrania.

Na przykład wybierz odpowiednią wersję Avamar:

obraz

Wyszukaj pakiet przepływu pracy konfiguracji zabezpieczeń sesji Avamar:

avamar_download.png

c. Pobierz pakiet.
 
 

2. Przed rozpoczęciem instalacji:

Przed uruchomieniem pakietu konfiguracyjnego zabezpieczeń sesji najlepiej jest wykonać następujące czynności:
  • Zatrzymaj wszystkie kopie zapasowe, replikację i upewnij się, że nie jest uruchomiona żadna konserwacja (punkt kontrolny, weryfikacja punktu kontrolnego (hfscheck) i wyrzucanie elementów bezużytecznych).
  • Sprawdź, czy istnieje prawidłowy punkt kontrolny.
 

3. Prześlij AVP zabezpieczeń sesji do repozytorium pakietów:

Po pobraniu odpowiedniego pakietu konfiguracyjnego zabezpieczeń sesji dostępne są dwie opcje instalacji:

Opcja 1:

A. Prześlij pakiet do katalogu tymczasowego, takiego jak /home/admin w węźle Avamar Utility Node.

B. Przenieś pakiet do katalogu /data01/avamar/repo/packages:

mv <package-name> /data01/avamar/repo/packages/

Usługa AVinstaller wykrywa zmiany w katalogu i automatycznie rozpoczyna ładowanie pakietu do repozytorium pakietów.

 

Opcja 2:

A. Otwórz stronę usługi sieci Web AVinstaller:

https://<avamar_server_ip_or_hostname>/avi
 

B. Przejdź do sekcji Repository:

repository.png

c. Znajdź na komputerze lokalnym pobrany pakiet konfiguracyjny zabezpieczeń sesji:

browse.png

Przetwarzanie pakietu:

processing.png

Gdy będzie gotowy, status zmieni się na "Zaakceptowano":

available.png

 

4. Zainstaluj zabezpieczenia sesji AVP:

A. Jeśli pakiet nie został przesłany za pomocą instalatora AVinstaller, otwórz stronę usługi sieci Web AVinstaller:

https://<avamar_server_ip_or_hostname>/avi
 

B. Przejdź do karty "Maintenance", aby uruchomić pakiet.

start.png

c. Wybierz opcję Uruchom.

d. Na ekranie "Konfiguracja instalacji" wybierz kartę Ustawienia zabezpieczeń i zaznacz pole wyboru "Pokaż ustawienia zaawansowane".

setup.png

 
 

Zarządzaj ustawieniami zabezpieczeń sesji:

Rozwijana opcja "Typ komunikacji i uwierzytelniania klient-serwer" umożliwia wybór czterech obsługiwanych trybów zabezpieczeń sesji:
1. Disabled
2. Mixed-Single
3. Authenticated-Single
4. Authenticated-Dual
 
Aby uzyskać więcej informacji na temat różnych trybów, zobacz Avamar: Zabezpieczenia sesji
Uwaga: Jeśli ustawienia zostaną zmienione, podczas uruchamiania pakietu nastąpi ponowne uruchomienie MCS.
 
 

Generowanie certyfikatów:

Istnieją dwie opcje wyboru generowania certyfikatów:
1. Generuj tylko certyfikaty serwera.
2. Wygeneruj wszystkie nowe certyfikaty.
 
      • Generuj tylko certyfikaty serwera:
        • Po wybraniu samodzielnie, regeneruje tylko GSAN Certyfikaty serwera.
          • Opis na ekranie brzmi: "Tworzy i propaguje certyfikaty serwera na serwerze Avamar i węzłach pamięci masowej, które mają być używane do uwierzytelniania serwera i/lub klienta za pomocą CA certificate zainstalowany w magazynie kluczy."
        • Spowoduje to wykonanie następujących czynności w siatce Avamar:
          • Uruchamia enable_secure_config.sh skrypt (enable_secure_config.sh --certs), który wykonuje następujące czynności:
            • Eksport wewnętrznego certyfikatu głównego Avamar z magazynu kluczy Avamar:
    keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot
              • Zapisuje ten certyfikat główny w następujących dwóch lokalizacjach:
    /home/admin/chain.pem
/usr/local/avamar/etc/chain.pem
              • Certyfikat główny w avamar_keystore jest następnie używany do podpisania nowej pary kluczy certyfikatu dla GSANi zapisane w następujących lokalizacjach:
    mcrootca rsatls <nodename> <subject_alt_names>

/home/admin/key.pem
/home/admin/cert.pem
/usr/local/avamar/etc/key.pem
/usr/local/avamar/etc/cert.pem
              • Certyfikaty te są następnie propagowane do wszystkich węzłów pamięci masowej.
              • Na koniec GSAN SSL socket jest przeładowywany, aby nowe połączenia z portem 29000 obsługiwały zregenerowane certyfikaty.
    Uwaga: Ponieważ wewnętrzny certyfikat główny Avamar nie uległ zmianie, zarejestrowani klienci, serwery proxy i domeny danych nie wymagają ponownej rejestracji.
     
     
        • Wygeneruj wszystkie nowe certyfikaty
          • Zaznaczenie tego pola wyboru powoduje również automatyczne zaznaczenie pola wyboru "Generate Server Certificates Only".
            Wynika to z procesu, który zachodzi podczas generowania wszystkich nowych certyfikatów.
            • Opis na ekranie brzmi: "Odtwarza mcrootca i generuje cały nowy korzeń, TLS, and EC root certificates”.
          • Spowoduje to wykonanie następujących czynności:
            • Wygeneruj ponownie wewnętrzną główną instytucję certyfikującą (CA) Avamar
            mcrootca all

            (Zastępuje wewnętrzną główną instytucję certyfikującą Avamar przechowywaną w avamar_keystore /usr/local/avamar/lib/avamar_keystore)

            • Regeneruje GSAN certyfikaty zgodnie z opisem w poprzedniej sekcji "Generowanie tylko certyfikatów serwera".
     

    Wewnętrzny certyfikat główny Avamar można wyświetlić za pomocą następującego polecenia:

    keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot
     
    Ostrzeżenie: Po ponownym uruchomieniu wewnętrznego głównego urzędu certyfikacji Avamar należy ponownie zarejestrować zarejestrowane serwery proxy, klientów i Data Domain, aby uzyskać nowy Avamar root CA oraz podpisany certyfikat z MCS Avamar umożliwiający bezpieczną wzajemną komunikację TLS z Avamar.
     
    Uwaga: jeśli procedura zastąpienia wewnętrznego głównego urzędu certyfikacji Avamar dostarczonym przez użytkownika została wcześniej wykonana (przy użyciu importcert.sh), spowoduje to wyczyszczenie tej konfiguracji i wygenerowanie wewnętrznie zaufanych certyfikatów z podpisem własnym Avamar.

    Aby uzyskać więcej informacji, zapoznaj się z następującym artykułem: Avamar: Instalacja lub wymiana instytucji certyfikującej Avamar na instytucję certyfikującą (CA) dostarczoną przez użytkownika
     
     

    E. Gdy wszystko będzie gotowe, kontynuuj uruchamianie pakietu.

    Pakiet może być wielokrotnie używany do konfigurowania tych ustawień zgodnie z wymaganiami.

    Affected Products

    Avamar
    Article Properties
    Article Number: 000222279
    Article Type: How To
    Last Modified: 19 Dec 2025
    Version:  8
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.