Data Domain: Beveiligde replicatie configureren tussen DDR's (Data Domain Restorers) bij repliceren via het openbare internet
Summary: In dit artikel wordt beschreven hoe u beveiligde replicatie tussen DDR's (Data Domain Restorers) configureert bij het repliceren via het openbare internet
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Data Domain Operating System (DDOS) versie 6.0.x (en hoger) introduceert wijzigingen om veilige replicatie van data via het openbare internet mogelijk te maken. Deze functionaliteit is ontworpen om te beschermen tegen een man-in-the-middle-aanval (MITM) die ongeautoriseerde toegang tot data mogelijk maakt. Het is gebaseerd op veilige verificatie via SSL-certificaatgerelateerde informatie (Secure Sockets Layer) over bron- en bestemmingsdata Domain Restorers (DDR's).
Verificatie kan op een van de volgende drie manieren worden geconfigureerd:
Vanaf de eerste releases van deze functionaliteit kan deze alleen worden geconfigureerd via de Data Domain opdrachtregelshell (DDSH) en nog niet worden geconfigureerd via een grafische gebruikersinterface (bijv. Data Domain System Manager/Management Center).
Vereisten:
# net ping [hostnaam van externe DDR]
Creëer wederzijds vertrouwen met extern systeem:
# adminaccess trust add host [hostnaam van extern systeem] type wederzijds
Stappen voor het configureren van een veilige replicatiecontext:
Houd er rekening mee dat veilige replicatie wordt ondersteund met alle replicatieprotocollen (d.w.z. directory/mtree/collection), maar in het volgende voorbeeld wordt mtree-replicatie gebruikt. Als u andere replicatieprotocollen gebruikt, moeten de opdrachten zo nodig worden aangepast.
Verificatie kan op een van de volgende drie manieren worden geconfigureerd:
- Anoniem: Er wordt geen authenticatie toegepast op verbindingen
- One-way: Alleen het SSL-certificaat van de bestemming is gecertificeerd
- Twee richtingen: Zowel bron- als bestemmings-SSL-certificaten zijn gecertificeerd
Vanaf de eerste releases van deze functionaliteit kan deze alleen worden geconfigureerd via de Data Domain opdrachtregelshell (DDSH) en nog niet worden geconfigureerd via een grafische gebruikersinterface (bijv. Data Domain System Manager/Management Center).
Vereisten:
- Zorg ervoor dat op zowel bron- als doel-DDR's DDOS 6.0.x (of hoger) wordt uitgevoerd
- Zorg ervoor dat er een replicatielicentie is toegevoegd aan zowel bron- als doel-DDR
- Zorg ervoor dat de vereiste poorten zijn geopend op eventuele firewalls tussen bron- en doel-DDR (zie KB-artikel 323297 voor meer informatie: Poortvereisten voor het verlenen van toegang tot Data Domain-systeem via een firewall)
- Zorg ervoor dat er wederzijds vertrouwen tot stand is gebracht tussen bron- en bestemmings-DDR (houd er rekening mee dat dit vereist dat poort 3009 open is tussen DDR's zoals beschreven in het bovenstaande document)
Meld u aan bij de CLI op zowel bron- als doelsystemen en zorg ervoor dat u in beide richtingen kunt pingen en dat het vertrouwen in beide richtingen tot stand is gebracht.
Controleer of de hostnaam van het externe systeem oplosbaar/contacteerbaar is:
# net ping [hostnaam van externe DDR]
Creëer wederzijds vertrouwen met extern systeem:
# adminaccess trust add host [hostnaam van extern systeem] type wederzijds
- Start het Data Domain File System (DDFS) opnieuw op op zowel het bron- als het doelsysteem (om ervoor te zorgen dat wederzijds vertrouwen volledig tot stand komt) - houd er rekening mee dat dit een korte onderbreking van de services op elke DDR veroorzaakt:
# filesys restart
Opmerking: U kunt het bestaan van de vertrouwensrelaties valideren door de volgende opdracht uit te voeren op de bron en het doel. Als u zich op het brongegevensdomein bevindt, gebruikt u de hostnaam van het doel en vice versa als u zich op het doelsysteem bevindt.
# adminaccess trust show [hostname]
Stappen voor het configureren van een veilige replicatiecontext:
Houd er rekening mee dat veilige replicatie wordt ondersteund met alle replicatieprotocollen (d.w.z. directory/mtree/collection), maar in het volgende voorbeeld wordt mtree-replicatie gebruikt. Als u andere replicatieprotocollen gebruikt, moeten de opdrachten zo nodig worden aangepast.
- Maak de nieuwe replicatiecontext (houd er rekening mee dat deze opdracht moet worden uitgevoerd op het bron- en doelsysteem):
# replication add source mtree://[source DDR host name]/data/col1/[source mtree name] destination mtree://[destination DDR host name]/data/col1/[destination mtree name] encryption enabled authentication mode {anonymous | one-way | two-way}
- Initialiseer de replicatiecontext op het bronsysteem:
# replication initialize mtree://[destination DDR host name]/data/col1/[destination mtree name]
Affected Products
Cloud Disaster RecoveryProducts
Data Domain, Data Domain Replicator, DD OS 6.0Article Properties
Article Number: 000019129
Article Type: How To
Last Modified: 05 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.