Data Domain : Comment configurer la réplication sécurisée entre les Data Domain Restorers (DDR) lors d’une réplication sur l’Internet public
Summary: Cet article explique comment configurer la réplication sécurisée entre les Data Domain Restorer (DDR) lors d’une réplication sur l’Internet public
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Data Domain Operating System (DDOS) version 6.0.x (et versions ultérieures) introduit des modifications pour permettre la réplication sécurisée des données sur l’Internet public. Cette fonctionnalité est conçue pour se protéger contre une attaque de l’homme du milieu (MITM) autorisant un accès non autorisé aux données. Il repose sur l’authentification sécurisée via des informations relatives au certificat SSL (Secure Sockets Layer) sur les Data Domain Restorers (DDR) sources et cibles.
L’authentification peut être configurée dans l’un des trois modes suivants :
Dans les versions originales, cette fonctionnalité ne peut être configurée que via le shell de ligne de commande Data Domain (DDSH) et ne peut pas encore être configurée via une interface graphique (par exemple, Data Domain System Manager/Management Center).
Conditions préalables :
# net ping [nom d’hôte du DDR distant]
Establish mutual trust with remote system :
# adminaccess trust add host [hostname of remote system] type mutual
Étapes de configuration d’un contexte de réplication sécurisée :
Notez que la réplication sécurisée est prise en charge avec tous les protocoles de réplication (c’est-à-dire répertoire/mtree/collection), mais l’exemple suivant utilise la réplication mtree. Si vous utilisez d’autres protocoles de réplication, les commandes devront être modifiées selon les besoins.
L’authentification peut être configurée dans l’un des trois modes suivants :
- Anonyme: Aucune authentification n’est appliquée aux connexions
- À sens unique: Seul le certificat SSL de destination est certifié
- Bidirectionnel : Les certificats SSL source et de destination sont certifiés
Dans les versions originales, cette fonctionnalité ne peut être configurée que via le shell de ligne de commande Data Domain (DDSH) et ne peut pas encore être configurée via une interface graphique (par exemple, Data Domain System Manager/Management Center).
Conditions préalables :
- Assurez-vous que les DDR source et cible exécutent DDOS 6.0.x (ou une version supérieure)
- Assurez-vous qu’une licence de réplication a été ajoutée à la DDR source et de destination
- Assurez-vous que les ports requis ont été ouverts sur tous les pare-feu entre la DDR source et la DDR de destination (reportez-vous à l’article de la base de connaissances 323297 pour plus d’informations : Exigences en matière de ports pour autoriser l’accès au système Data Domain via un pare-feu)
- Assurez-vous qu’une relation de confiance mutuelle a été établie entre les DDR source et cible (notez que cela nécessite que le port 3009 soit ouvert entre les DDR conformément au document ci-dessus)
Connectez-vous à la CLI sur les systèmes source et de destination et assurez-vous que vous pouvez effectuer une commande ping dans les deux sens et que la relation de confiance est établie dans les deux sens.
Vérifiez que le nom d’hôte du système distant peut être résolu/contacté :
# net ping [nom d’hôte du DDR distant]
Establish mutual trust with remote system :
# adminaccess trust add host [hostname of remote system] type mutual
- Redémarrez le système de fichiers Data Domain (DDFS) sur le système source et le système de destination (pour vous assurer que la confiance mutuelle est pleinement établie). Notez que cela entraînera une courte panne des services sur chaque DDR :
# filesys restart
Remarque : Vous pouvez vérifier que les approbations existent en exécutant la commande suivante sur la source et la cible. Si vous êtes sur le système Data Domain source, utilisez le nom d’hôte cible et vice versa si vous êtes sur le système cible.
# adminaccess trust show [hostname]
Étapes de configuration d’un contexte de réplication sécurisée :
Notez que la réplication sécurisée est prise en charge avec tous les protocoles de réplication (c’est-à-dire répertoire/mtree/collection), mais l’exemple suivant utilise la réplication mtree. Si vous utilisez d’autres protocoles de réplication, les commandes devront être modifiées selon les besoins.
- Créez le nouveau contexte de réplication (notez que cette commande doit être exécutée sur les systèmes source et de destination) :
# replication add source mtree://[source DDR host name]/data/col1/[source mtree name] destination mtree://[destination DDR host name]/data/col1/[destination mtree name] encryption enabled authentication mode {anonymous | one-way | two-way}
- Initialisez le contexte de réplication sur le système source :
# replication initialize mtree://[destination DDR host name]/data/col1/[destination mtree name]
Affected Products
Cloud Disaster RecoveryProducts
Data Domain, Data Domain Replicator, DD OS 6.0Article Properties
Article Number: 000019129
Article Type: How To
Last Modified: 05 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.