Avamar: Goav dd check-ssl Özelliği Hakkında Bilgi

Goav aracını İndirin ve Yükleyin

Avamar Goav aracını indirmek ve yüklemek için 000192151 numaralı,Avamar: Goav aracı başlıklı Dell makalesine bakın.

Goav Avamar'a yerleştirildikten sonra dizine gidin ve aracı yürütülebilir hale getirin.

chmod a+x goav

Komut

Aşağıdaki komutu çalıştırarak Data Domain check-ssl özelliğini kullanın:

./goav dd check-ssl

Kullanım için yardım ekranını kontrol edin:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Kullanım Örneği

Data Domain Avamar ile tümleştirildiğinde ve oturum güvenliği etkinleştirildiğinde, aralarında bir sertifika sorunu olabilir.

Avamar ve Data Domain arasındaki olası sertifika sorunlarını tanılamak için bu aracı kullanın.

Örnekler

Avamar veya Data Domain'de hiçbir değişiklik yapılmamasını garanti eden pasif denetimler çalıştırın.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Bir denetim başarısız olursa bununla ilişkili bir hata mesajı vardır.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Karşılaşılan sorunların otomatik olarak düzeltilmesine izin vermek için düzeltme bayrağını kullanın.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Denetimlerin Açıklaması

Oturum Güvenliği

• Oturum Güvenliği etkinleştirildiğinde, Avamar ve Data Domain arasında sertifika alışverişi yapılır.
• Oturum Güvenliği devre dışı bırakıldığında, Avamar ve Data Domain arasında sertifika alışverişi yapılmaz, bu nedenle bu aracı çalıştırmak için bir neden yoktur.
• Düzeltme bayrağı kullanıldığında, oturum güvenliği devre dışı bırakılmışsa otomatik olarak etkinleştirilmez.

DDR Güvenlik Özelliği Kılavuzu ve Ana Bilgisayar Sertifikası Otomatik Yenileme Bayrağı

• Bu bayraklar çoğu durumda Avamar'ın mcserver.xml dosyasında false (yanlış) olmalıdır.
• Manuel bayrağının false (yanlış) olarak ayarlanması, MCS'nin Data Domain sertifika imzalama isteğini imzalamasına ve Data Domain için imzalı bir ana bilgisayar sertifikası oluşturmasına olanak tanır.
• Manuel bayrağı true (doğru) ise MCS, Data Domain için imzalı bir ana bilgisayar sertifikası oluşturmaya çalışmaz.
• Ana bilgisayar sertifikası otomatik yenileme bayrağını false (yanlış) olarak ayarlamak, imzalı ana bilgisayar sertifikası eksik olduğunda yeniden oluşturulduğu için olağan ayardır.
• Araç, her iki bayrağın da false (yanlış) varsayılan değerine ayarlanmasını sağlar.
• Düzeltme bayrağı kullanıldığında, bu bayraklar true (doğru) olarak ayarlanmışsa otomatik olarak false (yanlış) şeklinde değiştirilir.

GSAN Sertifika Zinciri ve Sunucu Sertifika Süresinin Sona Ermesi

• GSAN, bir anahtar çifti ve sertifika zinciri ile güvenli bir TCP bağlantısı barındıran 29000 numaralı bağlantı noktasında çalışır.
• Araç, bu sertifikaların süresinin dolmadığını kontrol eder.
• Düzeltme bayrağı kullanıldığında, GSAN sertifika zincirinin süresi dolmuşsa mcrootca ve enable_secure_config.sh kullanılarak yeniden oluşturulur.
• Yalnızca GSAN sunucu sertifikasının süresi dolmuşsa herhangi bir kesinti olmadan "enable_secure_config.sh" kullanılarak yeniden oluşturulabilir. Düzeltme bayrağı bunu otomatik olarak yapar.

Bağlı Data Domain'leri Alın

• Eklenen Data Domain'leri ddrmaint kalıcı deposundan alın.
• Bağlı her Data Domain için aşağıdaki denetimler yapılır.

DDR Anahtarının Varlığını Kontrol Edin

• Avamar'dan Data Domain'e parolasız kimlik doğrulama için kullanılan DDR özel anahtarının var olduğundan ve okunabilir olduğundan emin olun.
• Düzeltme bayrağı kullanıldığında, anahtar mevcut değilse mcddrsetup_sshkey kullanılarak otomatik olarak yeniden oluşturulur ve yeni anahtar her bir bağlı Data Domain'e aktarılır.

Test Bağlantı Noktası 22

• Avamar ve Data Domain arasında 22 numaralı bağlantı noktasının açık olduğundan ve Data Domain'in dinlediğinden emin olun.
• Bağlantı noktası kapalıysa ve düzeltme bayrağı kullanılıyorsa hiçbir değişiklik yapılmaz.

DDR Anahtarı SSH Kimlik Doğrulamasını Test Edin

• Parola yerine mevcut DDR özel anahtarını kullanarak bağlı Data Domain'e bağlanmaya çalışın.
• Düzeltme bayrağı kullanıldığında, bu bağlantı başarısız olursa araç mevcut DDR özel anahtarını otomatik olarak Data Domain'e aktarır.

Data Domain SCP Etkin

• Data Domain'de Güvenli Kopyalama Protokolü'nün (SCP) etkinleştirildiğinden emin olun.
• SCP, Avamar ve Data Domain arasında sertifikalar gibi dosyaları aktarmak için kullanılır, devre dışı bırakılırsa Avamar sertifikaları Data Domain'e gönderemez.
• SCP devre dışı bırakılırsa ve düzeltme bayrağı kullanılırsa araç, Data Domain üzerinde SCP'yi otomatik olarak etkinleştirir.

Data Domain NFS Etkin

• Data Domain üzerinde NFS sürüm 3 veya 4'ün etkin olduğundan emin olun.
• Düzeltme bayrağı kullanıldığında, NFS devre dışı bırakılmışsa araç otomatik olarak NFS'yi etkinleştirir ve varsayılan olarak NFS sürüm 3'ü etkinleştirir.
• NFS devre dışı bırakılırsa Avamar ve Data Domain düzgün iletişim kuramaz.

Data Domain Sistem Anahtar Parolası

• Data Domain sistem anahtar parolasının ayarlandığından emin olun.
• Sistemin veri şifrelemesini destekleyebilmesi, dijital sertifikalar talep edebilmesi ve verilerin parçalanmasına karşı koruma sağlayabilmesi için Data Domain sistem anahtar parolasının ayarlanması gerekir.
• Düzeltme bayrağı kullanıldığında, anahtar parolası ayarlanmamışsa hiçbir değişiklik yapılmaz ve kullanıcının uygun bir zamanda tercihen Yönetim - >Erişim >- Yönetici Erişimi altındaki Data Domain web arayüzünü kullanarak Data Domain sistem anahtar parolasını ayarlaması gerekir.

Data Domain İçe Aktarılan Ana Bilgisayar DDBoost

• Data Domain üzerindeki imzalı ana bilgisayar sertifikasının (imported-host ddboost) var olduğundan ve süresinin dolmadığından emin olun.
• Bu sertifika MCS tarafından imzalanmıştır (GSAN sertifika zinciri).
• Düzeltme bayrağı kullanıldığında, eksikse veya süresi dolmuşsa, araç aşağıdaki adımlarla yeniden oluşturmaya çalışır.
  • Mevcut içe aktarılmış ana bilgisayar ddboost sertifikasını silin.
  • Avamar GSAN sertifika zincirini yükleyin.
  • Data Domain üzerindeki mevcut içe aktarılmış ca ddboost ve login-auth sertifikasını (Avamar GSAN sertifika zinciri) silin.
  • DDBoost'u yeniden başlatın.
  • MCS'yi yeniden başlatın.
  • Bir "mccli dd edit" komutu göndererek bir Data Domain senkronizasyonu gerçekleştirin, bu MCS'yi yeni sertifikaları oluşturmaya ve Data Domain'e aktarmaya yönlendiren komuttur.

Data Domain Ana Bilgisayar Düzenleyicisi Bağlı

• Data Domain imzalı ana bilgisayar sertifikasının (imported-host ddboost) başarıyla dışa aktarabileceği eşleştirilmiş bir Avamar GSAN sertifika zincirine (imported ca ddboost) sahip olduğunu kontrol edin.
• Düzeltme bayrağı kullanıldığında, bu doğrulama başarısız olursa araç, aşağıdaki adımlarla yeniden oluşturmaya çalışır.
  • Mevcut içe aktarılmış ana bilgisayar ddboost sertifikasını silin.
  • Avamar GSAN sertifika zincirini yükleyin.
  • Data Domain üzerindeki mevcut içe aktarılmış ca ddboost ve login-auth sertifikasını (Avamar GSAN sertifika zinciri) silin.
  • DDBoost'u yeniden başlatın.
  • MCS'yi yeniden başlatın.
  • Bir "mccli dd edit" komutu göndererek bir Data Domain senkronizasyonu gerçekleştirin, bu MCS'yi yeni sertifikaları oluşturmaya ve Data Domain'e aktarmaya yönlendiren komuttur.
• Bu denetimin önemi, Data Domain'in her biri kendi GSAN sertifika zincirine sahip birkaç Avamar sunucusu tarafından kullanılabilmesidir. Data Domain imzalı ana bilgisayar sertifikası yalnızca bir Avamar tarafından imzalanır ve onu imzalayan sertifikayı bulabilmelidir.

Data Domain'e Aktarılan Avamar Zinciri

• Avamar GSAN sertifika zincirinin Data Domain'e aktarıldığını kontrol edin.
• Avamar sunucusunda bulunan zincirin SHA1 parmak izi ile Data Domain'de bulunan bir veya daha fazla içe aktarılmış ca ddboost sertifikasının karşılaştırmasını gerçekleştirin.
• Avamar zinciri içe aktarılmamış olabileceği veya Avamar'da sertifikaların yeniden oluşturulması durumunda aynı sunucudan eski bir Avamar zinciri mevcut olabileceği için bu denetim yapılır.
• Birkaç Avamar sunucusu aynı Data Domain'i kullandığında, her Avamar GSAN sertifika zinciri Data Domain'de içe aktarılmış bir ca ddboost ve login-auth olarak bulunmalıdır. Bunlardan yalnızca biri Data Domain imzalı ana bilgisayar sertifikasının vericisidir.
• Düzeltme bayrağı kullanıldığında, bu kontrol başarısız olursa araç, aşağıdaki adımlarla yeniden oluşturmaya çalışır.
  • Mevcut içe aktarılmış ana bilgisayar ddboost sertifikasını silin.
  • Avamar GSAN sertifika zincirini yükleyin.
  • Data Domain üzerindeki mevcut içe aktarılmış ca ddboost ve login-auth sertifikasını (Avamar GSAN sertifika zinciri) silin.
  • DDBoost'u yeniden başlatın.
  • MCS'yi yeniden başlatın.
  • Bir "mccli dd edit" komutu göndererek bir Data Domain senkronizasyonu gerçekleştirin, bu MCS'yi yeni sertifikaları oluşturmaya ve Data Domain'e aktarmaya yönlendiren komuttur.

Yedekleme Zamanlayıcısı Durumu

• Bu, yedekleme zamanlayıcısının kullanıcı tarafından bilinen bir durumda olduğundan emin olmak için yardımcı bir denetimdir.
• Bu, düzeltme bayrağı kullanıldığında veya kullanılmadığında hizmeti başlatmayı isteyen tek denetimdir.

Bu videoyu izleyin:

(Aynı videoyu YouTube'da da izleyebilirsiniz.)