Data Domain. Как настроить безопасную репликацию между модулями восстановления Data Domain (DDR) при репликации через общедоступный Интернет
Summary: В этой статье описывается настройка безопасной репликации между модулями восстановления Data Domain (DDR) при репликации через общедоступный Интернет
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
В операционную систему Data Domain (DDOS) версии 6.0.x (и более поздней) внесены изменения, позволяющие обеспечить безопасную репликацию данных через общедоступный Интернет. Эта функция предназначена для защиты от атак типа «человек посередине» (MITM), допускающей несанкционированный доступ к данным. Он основан на безопасной проверке подлинности с помощью информации, связанной с сертификатом SSL в исходных и целевых модулях восстановления Data Domain Restorer (DDR).
Аутентификацию можно настроить в одном из трех режимов:
Начиная с первых выпусков, эту функциональность можно настроить только с помощью оболочки командной строки Data Domain (DDSH), и пока ее нельзя настроить с помощью графического интерфейса пользователя (например, Data Domain System Manager/Management Center).
Предварительные требования:
# net ping [имя хоста удаленной DDR]
Установите взаимное доверие с удаленной системой:
# adminaccess trust add host [имя хоста удаленной системы] type mutual
Шаги по настройке контекста безопасной репликации:
Обратите внимание, что безопасная репликация поддерживается всеми протоколами репликации (т. е. для каталогов, mtree или коллекции), однако в следующем примере используется репликация mtree. При использовании других протоколов репликации команды необходимо изменить соответствующим образом.
Аутентификацию можно настроить в одном из трех режимов:
- Анонимный: Аутентификация не применяется к подключениям
- Односторонний: Сертифицирован только целевой SSL-сертификат
- Двусторонний: SSL-сертификаты исходного и целевого ресурсов сертифицированы
Начиная с первых выпусков, эту функциональность можно настроить только с помощью оболочки командной строки Data Domain (DDSH), и пока ее нельзя настроить с помощью графического интерфейса пользователя (например, Data Domain System Manager/Management Center).
Предварительные требования:
- Убедитесь, что исходная и целевая память DDR работают под управлением DDOS версии 6.0.x (или более поздней)
- Убедитесь, что в исходный и целевой DDR добавлена лицензия репликации
- Убедитесь, что на всех межсетевых экранах между исходным и целевым DDR открыты необходимые порты (дополнительные сведения см. в статье базы знаний 323297 ): Требования к портам для разрешения доступа к системе Data Domain через межсетевой экран)
- Убедитесь в том, что между исходным и целевым DDR установлено взаимное доверие (обратите внимание, что для этого должен быть открыт порт 3009 между DDR, как описано в вышеприведенном документе)
Войдите в интерфейс командной строки в исходной и целевой системах и убедитесь, что отправка ping-запроса возможна в обоих направлениях и что доверие установлено в обоих направлениях.
Убедитесь, что имя хоста удаленной системы разрешимо или доступно для связи:
# net ping [имя хоста удаленной DDR]
Установите взаимное доверие с удаленной системой:
# adminaccess trust add host [имя хоста удаленной системы] type mutual
- Перезапустите файловую систему Data Domain (DDFS) в исходной и целевой системах (чтобы обеспечить полное установление взаимного доверия). Обратите внимание, что это приведет к кратковременному перебою в работе служб на каждом DDR:
# Перезапуск файловых систем
Примечание. Можно проверить наличие доверий, выполнив следующую команду в исходной и целевой системах. Если вы находитесь в исходной системе Data Domain, используйте имя целевого хоста, и наоборот, если вы находитесь в целевой системе.
# adminaccess trust show [имя хоста]
Шаги по настройке контекста безопасной репликации:
Обратите внимание, что безопасная репликация поддерживается всеми протоколами репликации (т. е. для каталогов, mtree или коллекции), однако в следующем примере используется репликация mtree. При использовании других протоколов репликации команды необходимо изменить соответствующим образом.
- Создайте новый контекст репликации (обратите внимание, что эта команда должна выполняться в исходной и целевой системах):
# replication add source mtree://[имя хоста исходной DDR]/data/col1/[имя исходного MTree] destination mtree://[имя хоста целевой DDR]/data/col1/[имя целевого MTree] Режим аутентификации с поддержкой шифрования {anonymous | one-way | two-way}
- Инициализируйте контекст репликации в исходной системе:
# инициализация репликации mtree://[имя хоста целевой DDR]/data/col1/[имя целевого MTree]
Affected Products
Cloud Disaster RecoveryProducts
Data Domain, Data Domain Replicator, DD OS 6.0Article Properties
Article Number: 000019129
Article Type: How To
Last Modified: 05 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.