Data Domain: Come configurare la replica sicura tra Data Domain Restorer (DDR) quando si esegue la replica su Internet pubblico
Summary: Questo articolo descrive come configurare la replica sicura tra Data Domain Restorer (DDR) durante la replica su Internet pubblico
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Data Domain Operating System (DDOS) versione 6.0.x (e successive) introduce modifiche per consentire la replica sicura dei dati su Internet pubblico. Questa funzionalità è progettata per proteggere da un attacco man in the middle (MITM) che consente l'accesso non autorizzato ai dati. Si basa sull'autenticazione sicura tramite certificato SSL (Secure Sockets Layer), informazioni correlate ai Data Domain Restorer (DDR) di origine e di destinazione.
L'autenticazione può essere configurata in una delle tre modalità seguenti:
A partire dalle versioni iniziali, questa funzionalità può essere configurata solo tramite la shell della riga di comando (DDSH) di Data Domain e non può ancora essere configurata tramite un'interfaccia utente grafica (ad esempio Data Domain System Manager/Management Center).
Prerequisiti:
# net ping [nome host del DDR remoto]
Stabilire l'affidabilità reciproca con il sistema remoto:
# adminaccess trust add host [nome host del sistema remoto] tipo mutual
Procedura per configurare un contesto di replica protetta:
Si noti che la replica protetta è supportata con tutti i protocolli di replica (ad es. directory/mtree/raccolta), tuttavia l'esempio seguente utilizza la replica mtree. Se si utilizzano altri protocolli di replica, i comandi dovranno essere modificati in base alle esigenze.
L'autenticazione può essere configurata in una delle tre modalità seguenti:
- Anonimo: Nessuna autenticazione viene applicata alle connessioni
- Unidirezionale: Viene certificato solo il certificato SSL di destinazione
- Bidirezionale: I certificati SSL di origine e di destinazione sono certificati
A partire dalle versioni iniziali, questa funzionalità può essere configurata solo tramite la shell della riga di comando (DDSH) di Data Domain e non può ancora essere configurata tramite un'interfaccia utente grafica (ad esempio Data Domain System Manager/Management Center).
Prerequisiti:
- Assicurarsi che i DDR di origine e di destinazione eseguano DDOS 6.0.x (o versione successiva)
- Assicurarsi che sia stata aggiunta una licenza di replica sia al DDR di origine che di destinazione
- Verificare che le porte richieste siano state aperte su tutti i firewall tra il DDR di origine e di destinazione (per ulteriori informazioni, consultare l'articolo 323297 della Knowledge Base: Requisiti delle porte per consentire l'accesso al sistema Data Domain tramite un firewall
- Verificare che sia stata stabilita l'affidabilità reciproca tra i DDR di origine e di destinazione (da notare che è necessaria l'apertura della porta 3009 tra i DDR come indicato nel documento precedente)
Accedere alla CLI sui sistemi di origine e di destinazione e assicurarsi di poter eseguire il ping in entrambe le direzioni e che sia stabilita l'attendibilità in entrambe le direzioni.
Verificare che il nome host del sistema remoto sia risolvibile/contattabile:
# net ping [nome host del DDR remoto]
Stabilire l'affidabilità reciproca con il sistema remoto:
# adminaccess trust add host [nome host del sistema remoto] tipo mutual
- Riavviare Data Domain File System (DDFS) sul sistema di origine e di destinazione (per garantire che l'affidabilità reciproca sia pienamente stabilita). Si noti che ciò causerà una breve interruzione dell'alimentazione dei servizi su ogni DDR:
# riavvio filesys
Nota: È possibile verificare l'esistenza dei trust eseguendo il seguente comando sull'origine e sulla destinazione. Se ci si trova nel Data Domain di origine, utilizzare il nome host di destinazione e viceversa se si è sul sistema di destinazione.
# adminaccess trust show [nome host]
Procedura per configurare un contesto di replica protetta:
Si noti che la replica protetta è supportata con tutti i protocolli di replica (ad es. directory/mtree/raccolta), tuttavia l'esempio seguente utilizza la replica mtree. Se si utilizzano altri protocolli di replica, i comandi dovranno essere modificati in base alle esigenze.
- Creare il nuovo contesto di replica (tenere presente che questo comando deve essere eseguito sul sistema di origine e di destinazione):
# replication add source mtree://[source DDR host name]/data/col1/[source mtree name] destination mtree://[destination DDR host name]/data/col1/[destination mtree name] encryption enabled authentication mode {anonymous | one-way | two-way}
- Inizializzare il contesto di replica sul sistema di origine:
# replication initialize mtree://[destination DDR host name]/data/col1/[destination mtree name]
Affected Products
Cloud Disaster RecoveryProducts
Data Domain, Data Domain Replicator, DD OS 6.0Article Properties
Article Number: 000019129
Article Type: How To
Last Modified: 05 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.