Data Domain: Slik konfigurerer du sikker replikering mellom Data Domain Restorers (DDR-er) når du replikerer over det offentlige Internett

Summary: Denne artikkelen beskriver hvordan du konfigurerer sikker replikering mellom Data Domain Restorers (DDRer) når du replikerer over det offentlige Internett

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Data Domain Operating System (DDOS) versjon 6.0.x (og nyere) introduserer endringer for å tillate sikker replikering av data over det offentlige Internett. Denne funksjonaliteten er designet for å beskytte mot MITM-angrep (man in the middle) som gir uautorisert tilgang til data. Den er basert på sikker godkjenning via SSL-sertifikatrelatert informasjon (Secure Sockets Layer) om Data Domain Restorers (DDR-er) for kilde og destinasjon.

Godkjenning kan konfigureres i én av tre moduser:
  • Anonym: Ingen godkjenning brukes på tilkoblinger
  • Enveis: Bare destinasjons-SSL-sertifikatet er sertifisert
  • Toveis: Både kilde og destinasjon SSL-sertifikater er sertifisert
Toveis autentisering anses åpenbart som den sikreste, så det anbefales der sikkerheten til replikerte data er et problem.

Fra og med første utgivelse av denne funksjonaliteten kan den bare konfigureres via Data Domain Command Line Shell (DDSH) og kan ennå ikke konfigureres via et grafisk brukergrensesnitt (dvs. Data Domain System Manager / Management Center).

Forutsetninger:
  • Kontroller at både kilde- og mål-DDR-er kjører DDOS 6.0.x (eller nyere)
  • Sørge for at det er lagt til en replikeringslisens for både kilde- og mål-DDR
  • Sørge for at nødvendige porter har blitt åpnet på alle brannmurer mellom kilde- og mål-DDR (se KB-artikkel 323297 for mer informasjon: Portkrav for å tillate tilgang til Data Domain-systemet gjennom en brannmur)
  • Sørge for at det er etablert gjensidig tillit mellom kilde- og mål-DDR (vær oppmerksom på at port 3009 er åpen mellom DDR-er i henhold til dokumentet ovenfor)
Logg på CLI-en på både kilde- og målsystemer, og kontroller at du kan pinge i begge retninger, og at tilliten er etablert i begge retninger.
 
Bekreft at vertsnavnet til det eksterne systemet er løsbart/kontaktbart:

# net ping [vertsnavnet til ekstern DDR]

Etablere gjensidig tillit med eksternt system:

# adminaccess trust add host [hostname of remote system] type mutual
  • Start Data Domain File System (DDFS) på nytt på både kilde- og målsystemet (for å sikre at gjensidig tillit blir fullstendig etablert) – vær oppmerksom på at dette vil føre til et kort nedetid for tjenestene på hver DDR:
# filesys restart
 
Merk:  Du kan validere at klareringene finnes ved å kjøre følgende kommando på kilden og målet.  Hvis du er på kildedatadomenet, bruker du målvertsnavnet og omvendt hvis du er på målsystemet. 
 
# adminaccess trust show [hostname]    

Trinn for å konfigurere en sikker replikeringskontekst:

Vær oppmerksom på at sikker replikering støttes med alle replikeringsprotokoller (dvs. katalog/mtree/collection), men følgende eksempel bruker mtree-replikering. Hvis du bruker andre replikeringsprotokoller, må kommandoene endres etter behov.
  • Opprett den nye replikeringskonteksten (merk at denne kommandoen må kjøres på kilde- og målsystemet):
# replication add source mtree://[source DDR host name]/data/col1/[source mtree name] destination mtree://[destination DDR host name]/data/col1/[destination mtree name]kryptering enabled authentication mode {anonymous | one-way | two-way}
  • Initialiser replikeringskonteksten på kildesystemet:
# replication initialize mtree://[destination DDR host name]/data/col1/[destination mtree name]

Affected Products

Cloud Disaster Recovery

Products

Data Domain, Data Domain Replicator, DD OS 6.0
Article Properties
Article Number: 000019129
Article Type: How To
Last Modified: 05 Sep 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.