Avamar. Информация о функции Goav dd check-ssl

Скачайте и установите инструмент Goav

См. статью Dell 000192151 Avamar. Инструмент Goav для скачивания и установки инструмента Avamar Goav.

После размещения Goav в Avamar перейдите в каталог и сделайте инструмент исполняемым.

chmod a+x goav

Команда

Используйте функцию Data Domain check-ssl. Для этого выполните следующую команду:

./goav dd check-ssl

Проверьте экран справки для использования:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Пример использования

Когда Data Domain интегрируется с Avamar и включается функция «Session Security», могут возникнуть проблемы с сертификатами между ними.

Используйте этот инструмент для диагностики потенциальных проблем с сертификатами между Avamar и Data Domain.

Примеры

Выполните пассивные проверки, которые гарантируют отсутствие изменений в Avamar или Data Domain.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Если проверка не пройдена, возникает связанное с ней сообщение об ошибке.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Используйте флаг fix, чтобы разрешить автоматическое устранение возникших проблем.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Описание проверок

Session Security

• Если включена функция «Session Security», происходит обмен сертификатами между Avamar и Data Domain.
• Если функция «Session Security» отключена, обмен сертификатами между Avamar и Data Domain не выполняется, поэтому нет причин запускать этот инструмент.
• Если используется флаг fix, но функция «Session Security» отключена, он не включается автоматически.

Руководство по функциям безопасности DDR и флагу автоматического обновления сертификатов хоста

• В большинстве случаев эти флаги должны иметь значение false в mcserver.xml Avamar.
• Установка значения false для флага manual позволяет MCS подписать запрос на заверение сертификата Data Domain и создать заверенный сертификат хоста для Data Domain.
• Если для флага manual установлено значение true, MCS не пытается создать подписанный сертификат хоста для Data Domain.
• Установка значения false для флага auto refresh сертификата хоста является обычной, так как заверенный сертификат хоста создается повторно всякий раз при его отсутствии.
• Инструмент гарантирует, что для обоих флагов по умолчанию установлено значение false.
• При использовании флага fix эти флаги автоматически приобретают значение false, если для них установлено значение true.

Истечение срока действия цепочки сертификатов GSAN и сертификата сервера

• GSAN работает на порте 29000, на котором размещено защищенное TCP-соединение с парой ключей и цепочкой сертификатов.
• Инструмент проверяет, что срок действия этих сертификатов не истек.
• Если при использовании флага fix истекает срок действия цепочки сертификатов GSAN, она создается повторно с использованием mcrootca и enable_secure_config.sh.
• Если срок действия сертификата сервера GSAN истек, его можно повторно создать с помощью команды «enable_secure_config.sh» без простоев. Флаг fix выполняет это автоматически.

Получение вложенных Data Domain

• Извлечение добавленных Data Domain из постоянного хранилища ddrmaint.
• Для каждого подключенного Data Domain выполняются следующие проверки.

Проверка наличия ключа DDR

• Проверьте, что приватный ключ DDR, используемый для аутентификации без пароля между Avamar и Data Domain, существует и доступен для чтения.
• Если при использовании флага fix ключ не существует, он автоматически создается повторно с использованием mcddrsetup_sshkey и нового ключа, импортируемого в каждый подключенный Data Domain.

Тест порта 22

• Убедитесь, что между Avamar и Data Domain открыт порт 22 и что Data Domain осуществляет прослушивание.
• Если порт закрыт и используется флаг fix, изменения не вносятся.

Проверка аутентификации по протоколу SSH с ключом DDR

• Попробуйте подключиться к прикрепленной системе Data Domain, используя существующий закрытый ключ DDR вместо пароля.
• В случае сбоя этого подключения при использовании флага fix инструмент автоматически импортирует существующий закрытый ключ DDR в Data Domain.

Data Domain SCP включен

• Убедитесь, что протокол безопасного копирования (SCP) включен в Data Domain.
• SCP используется для передачи файлов, таких как сертификаты, между Avamar и Data Domain. Если он отключен, Avamar не может отправить сертификаты в Data Domain.
• Если SCP отключен и используется флаг fix, инструмент автоматически включает SCP в Data Domain.

Data Domain NFS включен

• Убедитесь, что в Data Domain включена версия NFS 3 или 4.
• Когда используется флаг fix, если NFS отключен, инструмент автоматически включает NFS, который по умолчанию включается в версии 3.
• Если протокол NFS отключен, Avamar и Data Domain не могут обмениваться данными надлежащим образом.

Фраза-пароль системы Data Domain

• Убедитесь, что установлена фраза-пароль системы Data Domain.
• Прежде чем система сможет поддерживать шифрование данных, запрашивать цифровые сертификаты и защиту от уничтожения данных, необходимо задать фразу-пароль системы Data Domain.
• Если фраза-пароль не задана при использовании флага fix, изменения не вносятся. Пользователь должен установить фразу-пароль системы Data Domain в удобное ему время, предпочтительно с помощью веб-интерфейса Data Domain в меню «Administration» -> «Access» -> «Administrator Access».

Хост DDBoost импортирован в Data Domain

• Убедитесь, что заверенный сертификат хоста (imported-host ddboost) существует в Data Domain и что срок его действия не истек.
• Этот сертификат заверен MCS (цепочка сертификатов GSAN).
• При использовании флага fix, если он отсутствует или срок его действия истек, инструмент пытается повторно создать его, выполнив следующие действия.
  • Удалите существующий сертификат хоста ddboost, импортированный ранее.
  • Загрузите цепочку сертификатов Avamar GSAN.
  • Удалите существующие сертификаты imported ca ddboost и login-auth (цепочка сертификатов Avamar GSAN) в Data Domain.
  • Перезапустите DDBoost.
  • Перезапустите MCS.
  • Выполните синхронизацию Data Domain. Для этого отправьте команду «mccli dd edit». Это заставит MCS создать и импортировать новые сертификаты в Data Domain.

Издатель хоста Data Domain прикреплен

• Убедитесь, что заверенный сертификат хоста Data Domain (imported-host ddboost) обладает парной цепочкой сертификатов Avamar GSAN (imported ca ddboost), которую он может успешно экспортировать.
• Если при использовании флага fix это не удается проверить, инструмент пытается повторно создать этот сертификат путем выполнения следующих действий.
  • Удалите существующий сертификат хоста ddboost, импортированный ранее.
  • Загрузите цепочку сертификатов Avamar GSAN.
  • Удалите существующие сертификаты imported ca ddboost и login-auth (цепочка сертификатов Avamar GSAN) в Data Domain.
  • Перезапустите DDBoost.
  • Перезапустите MCS.
  • Выполните синхронизацию Data Domain. Для этого отправьте команду «mccli dd edit». Это заставит MCS создать и импортировать новые сертификаты в Data Domain.
• Важность этой проверки заключается в том, что Data Domain может использоваться несколькими серверами Avamar, каждый из которых имеет собственную цепочку сертификатов GSAN. Заверенный сертификат хоста Data Domain заверяется только одним Avamar и должен быть в состоянии найти сертификат, который его заверил.

Цепочка Avamar импортирована в Data Domain

• Убедитесь, что цепочка сертификатов Avamar GSAN импортирована в Data Domain.
• Выполните сравнение отпечатка SHA1 цепочки, присутствующей на сервере Avamar, и одного или нескольких сертификатов imported ca ddboost, присутствующих в Data Domain.
• Эта проверка выполняется из-за того, что цепочка Avamar может не быть импортирована или на ее месте может существовать старая цепочка Avamar с того же сервера (возможно, в случае повторного создания сертификатов в Avamar).
• Если несколько серверов Avamar используют одну и ту же систему Data Domain, каждая цепочка сертификатов Avamar GSAN должна присутствовать в Data Domain в виде imported ca ddboost и login-auth. Только одна из них является поставщиком заверенного сертификата хоста Data Domain.
• Если при использовании флага fix эта проверка не пройдена, инструмент пытается повторно создать этот сертификат путем выполнения следующих действий.
  • Удалите существующий сертификат хоста ddboost, импортированный ранее.
  • Загрузите цепочку сертификатов Avamar GSAN.
  • Удалите существующие сертификаты imported ca ddboost и login-auth (цепочка сертификатов Avamar GSAN) в Data Domain.
  • Перезапустите DDBoost.
  • Перезапустите MCS.
  • Выполните синхронизацию Data Domain. Для этого отправьте команду «mccli dd edit». Это заставит MCS создать и импортировать новые сертификаты в Data Domain.

Состояние планировщика резервного копирования

• Это вспомогательная проверка, чтобы убедиться, что планировщик резервного копирования находится в известном для пользователя состоянии.
• Это единственная проверка, которая запрашивает запуск службы, когда флаг fix используется или не используется.

Посмотрите это видео:

(Это видео также можно просмотреть на YouTube.)