Data Domain: Jak skonfigurować bezpieczną replikację między modułami Data Domain Restorer (DDR) podczas replikacji za pośrednictwem publicznego Internetu
Summary: W tym artykule opisano sposób konfigurowania bezpiecznej replikacji między modułami Data Domain Restorer (DDR) podczas replikacji za pośrednictwem publicznego Internetu
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
System operacyjny Data Domain (DDOS) w wersji 6.0.x (i nowszej) wprowadza zmiany umożliwiające bezpieczną replikację danych za pośrednictwem publicznego Internetu. Funkcja ta ma na celu ochronę przed atakiem typu man in the middle (MITM) umożliwiającym nieautoryzowany dostęp do danych. Opiera się na bezpiecznym uwierzytelnianiu za pomocą informacji związanych z certyfikatem warstwy bezpiecznych gniazd (SSL) w źródłowych i docelowych modułach Data Domain Restorer (DDR).
Uwierzytelnianie można skonfigurować w jednym z trzech trybów:
W pierwszych wersjach tej funkcji można ją skonfigurować tylko za pomocą powłoki wiersza polecenia Data Domain (DDSH) i nie można jej jeszcze skonfigurować za pomocą żadnego graficznego interfejsu użytkownika (np. Data Domain System Manager/Management Center).
Wymagania wstępne:
# net ping [nazwa hosta zdalnego DDR]
Nawiąż wzajemne zaufanie ze zdalnym systemem:
# adminaccess trust add host [nazwa hosta zdalnego systemu] type mutual
Etapy konfigurowania kontekstu bezpiecznej replikacji:
Należy pamiętać, że bezpieczna replikacja jest obsługiwana przez wszystkie protokoły replikacji (tj. directory/mtree/collection), jednak w poniższym przykładzie użyto replikacji drzewa MTree. W przypadku korzystania z innych protokołów replikacji polecenia należy zmodyfikować zgodnie z wymaganiami.
Uwierzytelnianie można skonfigurować w jednym z trzech trybów:
- Anonimowy: Do połączeń nie jest stosowane żadne uwierzytelnianie
- Jednokierunkowe: Tylko docelowy certyfikat SSL jest certyfikowany
- Dwukierunkowe: Certyfikaty SSL źródła i miejsca docelowego SSL są certyfikowane
W pierwszych wersjach tej funkcji można ją skonfigurować tylko za pomocą powłoki wiersza polecenia Data Domain (DDSH) i nie można jej jeszcze skonfigurować za pomocą żadnego graficznego interfejsu użytkownika (np. Data Domain System Manager/Management Center).
Wymagania wstępne:
- Upewnij się, że zarówno źródłowa, jak i docelowa pamięć DDR pracują z wersją DDOS 6.0.x (lub nowszą)
- Upewnij się, że licencja replikacji została dodana zarówno do źródłowego, jak i docelowego systemu DDR
- Upewnij się, że wymagane porty zostały otwarte na wszystkich zaporach między źródłowym i docelowym systemem DDR (więcej informacji można znaleźć w artykule bazy wiedzy 323297 : Wymagania dotyczące portów umożliwiające dostęp do systemu Data Domain przez zaporę sieciową)
- Upewnij się, że zostało ustanowione wzajemne zaufanie między źródłowym i docelowym systemem DDR (należy pamiętać, że wymaga to otwarcia portu 3009 między DDR zgodnie z powyższym dokumentem)
Zaloguj się do interfejsu wiersza poleceń w systemie źródłowym i docelowym, aby upewnić się, że możesz wykonać polecenie ping w obu kierunkach oraz że zaufanie zostało ustanowione w obu kierunkach.
Upewnij się, że nazwa hosta zdalnego systemu jest możliwa do rozpoznania / skontaktowania się z nami:
# net ping [nazwa hosta zdalnego DDR]
Nawiąż wzajemne zaufanie ze zdalnym systemem:
# adminaccess trust add host [nazwa hosta zdalnego systemu] type mutual
- Uruchom ponownie system plików Data Domain (DDFS) w systemie źródłowym i docelowym (aby zapewnić pełne zaufanie) — należy pamiętać, że spowoduje to krótką awarię usług w każdym DDR:
# ponowne uruchomienie filesys
Uwaga: Można sprawdzić, czy relacje zaufania istnieją, uruchamiając następujące polecenie w źródle i obiekcie docelowym. Jeśli znajdujesz się w źródłowej Data Domain, użyj nazwy hosta docelowego i odwrotnie, jeśli jesteś w systemie docelowym.
# adminaccess trust show [nazwa hosta]
Etapy konfigurowania kontekstu bezpiecznej replikacji:
Należy pamiętać, że bezpieczna replikacja jest obsługiwana przez wszystkie protokoły replikacji (tj. directory/mtree/collection), jednak w poniższym przykładzie użyto replikacji drzewa MTree. W przypadku korzystania z innych protokołów replikacji polecenia należy zmodyfikować zgodnie z wymaganiami.
- Utwórz nowy kontekst replikacji (należy pamiętać, że to polecenie należy uruchomić w systemie źródłowym i docelowym):
# replication add source mtree://[nazwa hosta źródłowego DDR]/data/col1/[nazwa źródłowego obiektu MTree] miejsce docelowe mtree://[nazwa hosta docelowego DDR]/data/col1/[nazwa obiektu docelowego MTree] tryb uwierzytelniania z włączonym szyfrowaniem {anonimowy | jednokierunkowy | dwukierunkowy}
- Zainicjuj kontekst replikacji w systemie źródłowym:
# replicationize mtree://[destination DDR host name]/data/col1/[destination MTree name]
Affected Products
Cloud Disaster RecoveryProducts
Data Domain, Data Domain Replicator, DD OS 6.0Article Properties
Article Number: 000019129
Article Type: How To
Last Modified: 05 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.