Домен даних: Як налаштувати безпечну реплікацію між реставраторами доменів даних (DDR) під час реплікації через загальнодоступний Інтернет
Summary: У цій статті описано, як налаштувати безпечну реплікацію між реставраторами домену даних (DDR) під час реплікації через загальнодоступний Інтернет
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Операційна система домену даних (DDOS) версії 6.0.x (і пізнішої) вносить зміни, що дозволяють безпечну реплікацію даних через загальнодоступний Інтернет. Ця функція призначена для захисту від атаки "людина посередині" (MITM), яка дозволяє отримати несанкціонований доступ до даних. Він заснований на безпечній автентифікації за допомогою інформації, пов'язаної з сертифікатами рівня захищених сокетів (SSL), на відновлювачах доменів джерельних і цільових даних (DDR).
Аутентифікацію можна налаштувати в одному з трьох режимів:
Станом на початкові випуски ця функціональність може бути налаштована лише через командну оболонку Data Domain (DDSH) і поки що не може бути налаштована за допомогою будь-якого графічного інтерфейсу користувача (наприклад, Data Domain System Manager/Management Center).
Вимоги до кандидатів:
# net ping [ім'я хоста віддаленого DDR]
Встановіть взаємну довіру з віддаленою системою:
# adminaccess trust add host [ім'я хоста віддаленої системи] тип взаємний
Кроки для налаштування безпечного контексту реплікації:
Зверніть увагу, що безпечна реплікація підтримується всіма протоколами реплікації (тобто directory/mtree/collection), однак у наступному прикладі використовується реплікація mtree. Якщо використовуються інші протоколи реплікації, команди потрібно буде змінювати за потреби.
Аутентифікацію можна налаштувати в одному з трьох режимів:
- Безіменний: Автентифікація не застосовується до з'єднань
- Односторонній: Сертифіковано лише сертифікат SSL призначення
- Двосторонній: SSL-сертифікати як джерела, так і одержувача сертифіковані
Станом на початкові випуски ця функціональність може бути налаштована лише через командну оболонку Data Domain (DDSH) і поки що не може бути налаштована за допомогою будь-якого графічного інтерфейсу користувача (наприклад, Data Domain System Manager/Management Center).
Вимоги до кандидатів:
- Переконайтеся, що як вихідний, так і цільовий DDR використовують DDOS 6.0.x (або пізнішу версію)
- Переконайтеся, що ліцензію на реплікацію було додано як до вихідного, так і до цільового DDR
- Переконайтеся, що на всіх брандмауерах між джерелом і DDR було відкрито необхідні порти (див. статтю бази знань 323297 для отримання додаткової інформації: Вимоги до портів для надання доступу до системи Data Domain через брандмауер)
- Переконайтеся, що між DDR джерела та призначення встановлено взаємну довіру (зауважте, що для цього потрібен порт 3009 для відкриття між DDR відповідно до вищезазначеного документа)
Увійдіть у CLI як на вихідній, так і на цільовій системах і переконайтеся, що ви можете пінгувати в обох напрямках, і що довіра встановлена в обох напрямках.
Переконайтеся, що ім'я хоста віддаленої системи є розв'язуваним/контактним:
# net ping [ім'я хоста віддаленого DDR]
Встановіть взаємну довіру з віддаленою системою:
# adminaccess trust add host [ім'я хоста віддаленої системи] тип взаємний
- Перезапустіть файлову систему домену даних (DDFS) як на джерелі, так і на системі призначення (щоб переконатися, що взаємна довіра повністю встановлена) - зауважте, що це призведе до короткочасного збою в роботі служб на кожному DDR:
# Перезапуск файлів
Примітка: Ви можете перевірити існування довіри, виконавши наступну команду для джерела та цілі. Якщо ви перебуваєте на вихідному домені даних, використовуйте ім'я цільового хоста, і навпаки, якщо ви перебуваєте в цільовій системі.
# adminaccess показати довіру [ім'я хоста]
Кроки для налаштування безпечного контексту реплікації:
Зверніть увагу, що безпечна реплікація підтримується всіма протоколами реплікації (тобто directory/mtree/collection), однак у наступному прикладі використовується реплікація mtree. Якщо використовуються інші протоколи реплікації, команди потрібно буде змінювати за потреби.
- Створіть новий контекст реплікації (зауважте, що цю команду потрібно виконувати на системі source та destination):
# реплікація додати джерело mtree://[ім'я хоста джерела DDR]/data/col1/[ім'я mtree джерела джерела] призначення mtree://[ім'я хоста DDR призначення]/data/col1/[ім'я mtree призначення призначення] режим автентифікації з увімкненим шифруванням {анонімний | односторонній | двосторонній}
- Ініціалізуйте контекст реплікації на системі джерела:
# реплікація ініціалізує mtree://[ім'я хоста DDR призначення]/data/col1/[ім'я mtree призначення призначення]
Affected Products
Cloud Disaster RecoveryProducts
Data Domain, Data Domain Replicator, DD OS 6.0Article Properties
Article Number: 000019129
Article Type: How To
Last Modified: 05 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.