Avamar: Goav dd check-ssl 기능에 대한 정보

Summary: 이 문서에서는 Goav dd check-ssl 기능을 사용하여 Avamar와 Data Domain 간의 SSL 연결 문제를 해결하는 방법에 대해 설명합니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Goav 툴 다운로드 및 설치

Dell 문서 000192151 Avamar: Goav 툴을 참조하여 Avamar Goav 툴을 다운로드하고 설치합니다.

Goav가 Avamar에 배치되면 디렉토리로 이동하여 툴을 실행 가능하게 만듭니다.

chmod a+x goav

명령

다음 명령을 실행하여 Data Domain check-ssl 기능을 사용합니다.

./goav dd check-ssl

도움말 화면에서 사용법을 확인합니다.

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

활용 사례

Data Domain이 Avamar와 통합되고 세션 보안이 활성화된 경우 둘 사이에 인증서 문제가 있을 수 있습니다.

이 툴을 사용하여 Avamar와 Data Domain 간의 잠재적인 인증서 문제를 진단할 수 있습니다.

Avamar 또는 Data Domain이 변경되지 않도록 하는 패시브 검사를 실행합니다.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

검사에 실패하면 관련된 오류 메시지가 표시됩니다.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

수정 플래그를 사용하여 발생한 문제를 자동으로 해결할 수 있습니다.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

검사에 대한 설명

세션 보안

  • 세션 보안이 활성화되면 Avamar와 Data Domain 간에 인증서가 교환됩니다.
  • 세션 보안이 비활성화되면 Avamar와 Data Domain 간에 인증서가 교환되지 않으므로 이 툴을 실행할 이유가 없습니다.
  • 수정 플래그를 사용할 때 세션 보안이 비활성화된 경우 자동으로 활성화되지 않습니다.

DDR 보안 기능 수동 및 호스트 인증서 자동 새로 고침 플래그

  • 대부분의 경우 Avamar의 mcserver.xml에서 이러한 플래그는 false여야 합니다.
  • 수동 플래그를 false로 설정하면 MCS가 Data Domain 인증서 서명 요청에 서명하고 Data Domain에 대해 서명된 호스트 인증서를 생성할 수 있습니다.
  • 수동 플래그가 true인 경우 MCS는 Data Domain에 대해 서명된 호스트 인증서를 생성하려고 시도하지 않습니다.
  • 서명된 호스트 인증서가 누락될 때마다 다시 생성되므로 호스트 인증서 자동 새로 고침 플래그를 false로 설정하는 것이 일반적인 설정입니다.
  • 이 툴은 두 플래그가 모두 기본값인 false로 설정되어 있는지 확인합니다.
  • 수정 플래그를 사용할 때 이러한 플래그가 true로 설정된 경우 자동으로 false로 변경됩니다.

GSAN 인증서 체인 및 서버 인증서 만료

  • GSAN은 키 쌍 및 인증서 체인을 사용하여 보안 TCP 연결을 호스팅하는 포트 29000에서 실행됩니다.
  • 이 툴은 이러한 인증서가 만료되지 않았는지 확인합니다.
  • 수정 플래그를 사용할 때 GSAN 인증서 체인이 만료된 경우에는 mcrootca 및 enable_secure_config.sh를 사용하여 다시 생성됩니다.
  • GSAN 서버 인증서만 만료된 경우 다운타임 없이 "enable_secure_config.sh"를 사용하여 다시 생성할 수 있습니다. 수정 플래그는 이 작업을 자동으로 수행합니다.

연결된 Data Domain 가져오기

  • ddrmaint 영구 저장소에서 추가된 Data Domain을 검색합니다.
  • 연결된 각 Data Domain에 대해 다음 검사를 수행합니다.

DDR 키가 있는지 확인

  • Avamar과 Data Domain 간에 비밀번호 없이 인증하는 데 사용되는 DDR 개인 키가 존재하며 읽을 수 있는지 확인합니다.
  • 수정 플래그를 사용할 때 키가 없는 경우에는 mcddrsetup_sshkey를 사용해 자동으로 다시 생성되고 연결된 각 Data Domain으로 새 키를 가져옵니다.

테스트 포트 22

  • Avamar와 Data Domain 간에 포트 22가 열려 있고 Data Domain이 수신 중인지 확인합니다.
  • 포트가 닫혀 있고 수정 플래그가 사용되는 경우 변경되지 않습니다.

DDR 키 SSH 인증 테스트

  • 비밀번호 대신 기존 DDR 개인 키를 사용하여 연결된 Data Domain에 연결을 시도합니다.
  • 수정 플래그를 사용할 때 이 연결이 실패하면 툴에서 자동으로 기존 DDR 개인 키를 Data Domain으로 가져옵니다.

Data Domain SCP 활성화됨

  • Data Domain에서 SCP(Secure Copy Protocol)가 활성화되어 있는지 확인합니다.
  • SCP는 Avamar와 Data Domain 간에 인증서와 같은 파일을 전송하는 데 사용됩니다. 비활성화된 경우 Avamar는 인증서를 Data Domain으로 보낼 수 없습니다.
  • SCP가 비활성화되어 있고 수정 플래그가 사용되는 경우 Data Domain에서 SCP가 자동으로 활성화됩니다.

Data Domain NFS 활성화됨

  • Data Domain에서 NFS 버전 3 또는 4가 활성화되어 있는지 확인합니다.
  • 수정 플래그를 사용할 때 NFS가 비활성화된 경우 툴에서 자동으로 NFS를 활성화하며 기본적으로 NFS 버전 3이 활성화됩니다.
  • NFS가 비활성화된 경우 Avamar와 Data Domain이 제대로 통신할 수 없습니다.

Data Domain System 비밀번호 문구

  • Data Domain 시스템 비밀번호 문구가 설정되어 있는지 확인합니다.
  • 시스템이 데이터 암호화를 지원하고 디지털 인증서를 요청하며 데이터 폐기를 방지하려면 먼저 Data Domain 시스템 비밀번호 문구를 설정해야 합니다.
  • 수정 플래그를 사용할 때 비밀번호 문구가 설정되지 않은 경우에는 변경 사항이 적용되지 않으며, 사용자는 편리한 시간에 Data Domain 웹 인터페이스(Administration -> Access -> Administrator Access)를 사용하여 Data Domain 시스템 비밀번호 문구를 설정해야 합니다.

Data Domain에서 가져온 호스트 DDBoost

  • Data Domain에 서명된 호스트 인증서(가져온 호스트 ddboost)가 존재하며 만료되지 않았는지 확인합니다.
  • 이 인증서는 MCS(GSAN 인증서 체인)에 의해 서명되었습니다.
  • 수정 플래그를 사용할 때 누락되었거나 만료된 경우에는 툴에서 다음 단계를 수행하여 다시 생성하려고 시도합니다.
    • 가져온 기존 호스트 ddboost 인증서를 삭제합니다.
    • Avamar GSAN 인증서 체인을 로드합니다.
    • Data Domain에서 가져온 기존 ca ddboost 및 login-auth 인증서(Avamar GSAN 인증서 체인)를 삭제합니다.
    • DDBoost를 재시작합니다.
    • MCS를 재시작합니다.
    • "mccli dd edit" 명령을 전송하여 Data Domain 동기화를 수행합니다. 이렇게 하면 MCS가 새 인증서를 생성하고 Data Domain으로 가져오게 됩니다.

Data Domain 호스트 발급자가 연결됨

  • Data Domain 서명 호스트 인증서(가져온 호스트 ddboost)에 성공적으로 내보낼 수 있는 페어링된 Avamar GSAN 인증서 체인(가져온 ca ddboost)이 있는지 확인합니다.
  • 수정 플래그를 사용할 때 유효성 검사에 실패하면 툴에서 다음 단계를 수행하여 다시 생성하려고 시도합니다.
    • 가져온 기존 호스트 ddboost 인증서를 삭제합니다.
    • Avamar GSAN 인증서 체인을 로드합니다.
    • Data Domain에서 가져온 기존 ca ddboost 및 login-auth 인증서(Avamar GSAN 인증서 체인)를 삭제합니다.
    • DDBoost를 재시작합니다.
    • MCS를 재시작합니다.
    • "mccli dd edit" 명령을 전송하여 Data Domain 동기화를 수행합니다. 이렇게 하면 MCS가 새 인증서를 생성하고 Data Domain으로 가져오게 됩니다.
  • 이 검사의 중요성은 Data Domain을 각각 자체 GSAN 인증서 체인이 있는 여러 Avamar 서버에서 사용할 수 있다는 것입니다. Data Domain 서명 호스트 인증서는 하나의 Avamar에서만 서명되므로 여기에 서명한 인증서를 찾을 수 있어야 합니다.

Data Domain으로 가져온 Avamar 체인

  • Avamar GSAN 인증서 체인을 Data Domain으로 가져왔는지 확인합니다.
  • Avamar Server에 있는 체인의 SHA1 지문과 Data Domain에 있는 인증서 중 하나 이상의 가져온 ca ddboost 인증서를 비교합니다.
  • 이 검사는 Avamar 체인을 가져올 수 없거나 Avamar에서 인증서를 다시 생성하는 경우 같은 서버에서 이전 Avamar 체인이 대신 존재할 수 있기 때문에 수행됩니다.
  • 여러 Avamar Server가 동일한 Data Domain을 사용하는 경우 각 Avamar GSAN 인증서 체인은 가져온 ca ddboost 및 login-auth로 Data Domain에 있어야 합니다. 이 중 하나만 Data Domain 서명 호스트 인증서의 발급자입니다.
  • 수정 플래그를 사용할 때 이 검사에 실패하면 툴에서 다음 단계를 수행하여 다시 생성하려고 시도합니다.
    • 가져온 기존 호스트 ddboost 인증서를 삭제합니다.
    • Avamar GSAN 인증서 체인을 로드합니다.
    • Data Domain에서 가져온 기존 ca ddboost 및 login-auth 인증서(Avamar GSAN 인증서 체인)를 삭제합니다.
    • DDBoost를 재시작합니다.
    • MCS를 재시작합니다.
    • "mccli dd edit" 명령을 전송하여 Data Domain 동기화를 수행합니다. 이렇게 하면 MCS가 새 인증서를 생성하고 Data Domain으로 가져오게 됩니다.

백업 스케줄러 상태

  • 이는 백업 스케줄러가 사용자에게 알려진 상태인지 확인하기 위한 도우미 검사입니다.
  • 이는 수정 플래그를 사용 여부에 따라 서비스를 시작할지 묻는 유일한 검사입니다.

 

Additional Information

다음 비디오를 참조하십시오.

(YouTube이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.에서도 이 비디오를 볼 수 있습니다.)

 

Affected Products

Avamar, Data Domain
Article Properties
Article Number: 000215679
Article Type: How To
Last Modified: 04 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.