Data Domain: Så här konfigurerar du säker replikering mellan Data Domain Restorers (DDR) vid replikering via det offentliga internet

Summary: I den här artikeln beskrivs hur du konfigurerar säker replikering mellan Data Domain Restorers (DDR) vid replikering via det offentliga Internet

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Data Domain Operating System (DDOS) version 6.0.x (och senare) introducerar ändringar som tillåter säker replikering av data över det offentliga Internet. Den här funktionen är utformad för att skydda mot en MITM-attack (man in the middle) som möjliggör obehörig åtkomst till data. Den är baserad på säker autentisering via SSL-certifikatrelaterad (Secure Sockets Layer) på Data Domain Restorers (DDR) för källa och mål.

Autentisering kan konfigureras i ett av tre lägen:
  • Anonym: Ingen autentisering tillämpas på anslutningar
  • Enkelriktad: Endast målets SSL-certifikat är certifierat
  • Dubbelriktad: Både käll- och mål-SSL-certifikat är certifierade
Självklart anses tvåvägsautentisering vara det säkraste, så vi rekommenderar att du använder säkerheten för replikerade data när det är ett problem.

Från och med de första versionerna av den här funktionen kan den endast konfigureras via Data Domains kommandoradsgränssnitt (DDSH) och kan ännu inte konfigureras via något grafiskt användargränssnitt (dvs. Data Domain System Manager/Management Center).

Förutsättningar:
  • Kontrollera att DDOS 6.0.x (eller senare) körs på både käll- och mål-DDR:er
  • Kontrollera att en replikeringslicens har lagts till i både käll- och mål-DDR
  • Kontrollera att nödvändiga portar har öppnats i alla brandväggar mellan käll- och mål-DDR (mer information finns i KB-artikeln 323297 : Portkrav för att tillåta åtkomst till Data Domain-system genom en brandvägg)
  • Se till att ömsesidigt förtroende har upprättats mellan käll- och mål-DDR (observera att detta kräver att port 3009 är öppen mellan DDR:er enligt dokumentet ovan)
Logga in på CLI på både käll- och målsystem och se till att du kan pinga i båda riktningarna och att förtroendet upprättas i båda riktningarna.
 
Bekräfta att fjärrsystemets värdnamn kan matchas/kontaktas:

# net ping [värdnamn för fjärr-DDR]

Upprätta ömsesidigt förtroende med fjärrsystem:

# adminaccess trust add host [värdnamn för fjärrsystem] type mutual
  • Starta om Data Domain File System (DDFS) på både käll- och målsystemet (för att säkerställa att ömsesidigt förtroende har upprättats) – observera att detta orsakar ett kort avbrott i tjänsterna på varje DDR:
# filesys starta om
 
Obs!  Du kan verifiera att förtroendena finns genom att köra följande kommando på källan och målet.  Om du befinner dig i källData Domain använder du målvärdnamnet och vice versa om du befinner dig i målsystemet. 
 
# adminaccess trust show [värdnamn]    

Steg för att konfigurera en kontext för säker replikering:

Observera att säker replikering stöds med alla replikeringsprotokoll (dvs. directory/mtree/collection), men i följande exempel används mtree-replikering. Om du använder andra replikeringsprotokoll måste kommandona ändras efter behov.
  • Skapa den nya replikeringskontexten (observera att det här kommandot måste köras på käll- och målsystemet):
# replikering lägg till källa mtree://[DDR-källnamn]/data/col1/[källa MTree-namn] mål mtree://[DDR-målnamn]/data/col1/[mål-MTree-namn] Kryptering aktiverad Autentiseringsläge {anonymt | envägs | tvåvägs}
  • Initiera replikeringskontexten på källsystemet:
# replication initialize mtree://[destination DDR-värdnamn]/data/col1/[destination MTree-namn]

Affected Products

Cloud Disaster Recovery

Products

Data Domain, Data Domain Replicator, DD OS 6.0
Article Properties
Article Number: 000019129
Article Type: How To
Last Modified: 05 Sep 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.