Data Domain:透過公有網際網路複製時,如何設定 Data Domain Restorers (DDR) 之間的安全複製

Summary: 本文說明透過公有網際網路複製時,如何設定 Data Domain Restorers (DDR) 之間的安全複製

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Data Domain Operating System (DDOS) 版本 6.0.x (和更新版本) 導入變更,允許透過公有網際網路安全複製資料。此功能旨在防止中間人 (MITM) 攻擊,從而允許未經授權訪問數據。這是透過安全通訊端層 (SSL) 憑證對來源和目的地 Data Domain Restorers (DDR) 的安全驗證為基礎。

可以在以下三種模式之一中設定身份驗證:
  • 匿名:未對連線套用任何認證
  • 單向:僅認證目的地 SSL 憑證
  • 雙向:來源和目的地 SSL 憑證皆經過認證
顯然,雙向身份驗證被認為是最安全的,因此建議在關注複製數據的安全性時進行身份驗證。

自初始版本起,此功能僅能透過 Data Domain 命令列 Shell (DDSH) 設定,目前還無法透過任何圖形使用者介面 (即 Data Domain System Manager/Management Center) 設定。

先決條件:
  • 確認來源和目的地 DDR 都執行 DDOS 6.0.x (或更新版本)
  • 確保已將複製授權新增至來源和目的地 DDR
  • 請確定已在來源和目的地 DDR 之間的任何防火牆上開啟所需的連接埠 (請參閱 KB 文章 323297 以取得進一步資訊:允許透過防火牆存取 Data Domain 系統的連接埠需求
  • 請確定來源和目的地 DDR 之間已建立互信 (請注意,根據上述文件,DDR 之間必須開啟連接埠 3009
在來源和目的地系統上登入 CLI,確定您可以雙向執行 Ping,且信任已雙向建立。
 
確認遠端系統的主機名稱可解析/可聯絡:

# net ping [遠端 DDR 的主機名稱]

與遠端系統建立互信:

# adminaccess 信任新增主機 [遠端系統的主機名稱] 類型互惠
  • 在來源和目的地系統上重新開機 Data Domain 檔案系統 (DDFS) (以確保完全建立互信) - 請注意,這會導致每個 DDR 上的服務短暫中斷:
# filesys restart
 
注意:  可以通過對源和目標運行以下命令來驗證信任是否存在。  如果您在來源 Data Domain 上,請使用目標主機名稱,反之亦然,如果您在目標系統上。 
 
# adminaccess trust show [hostname]    

設定安全複製內容的步驟:

請注意,所有複製通訊協定 (即目錄/mtree/集合) 都支援安全複製,但下列範例使用 mtree 複寫。如果使用其他複製通訊協定,則需要視需要修改命令。
  • 建立新的複寫內容 (請注意,此命令必須在來源和目的地系統上執行):
# 複製新增來源 mtree://[來源 DDR 主機名稱]/data/col1/[來源 mtree 名稱] 目的地 mtree://[目的地 DDR 主機名稱]/data/col1/[目的地 mtree 名稱] 啟用加密的驗證模式 {匿名 | 單向 | 雙向}
  • 初始化來源系統上的複寫內容:
# 複寫初始化 mtree://[目的地 DDR 主機名稱]/data/col1/[目的地 mtree 名稱]

Affected Products

Cloud Disaster Recovery

Products

Data Domain, Data Domain Replicator, DD OS 6.0
Article Properties
Article Number: 000019129
Article Type: How To
Last Modified: 05 Sep 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.