Avamar - 저장 상태 암호화 기능 이해
Summary: 이 문서에서는 Avamar의 저장 상태 암호화 기능의 용도와 주의 사항을 포함한 여러 측면에 대해 설명합니다. Dell 직원 및 파트너만 활용할 수 있는 이 문서의 내부 섹션에서는 구성 방법을 설명합니다.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
이 문서의 목적은 Avamar Server에서 저장 상태 암호화를 사용하는 방법을 설명하는 것입니다.
이는 고급 기능이며, 시스템 유지 보수 및 지원 작업에 사용되는 일반적인 Avamar 명령에 숙련되어 있다고 가정합니다. 그렇지 않으면 진행하지 마십시오. 적절히 숙련된 담당자에게 문의하십시오.
Avamar 기술 부록에는 "avmaint atrestencryption" 명령이 문서화되어 있지만 운영 Avamar 시스템에서 안전하게 구현하는 방법은 설명되어 있지 않습니다.
이 문서에서는 구현에 대해 설명하고 저장 상태 암호화와 관련된 몇 가지 일반적인 질문에 대한 답을 제시합니다.
이러한 중복 제거된('원자성') 데이터 청크는 .dat 파일에 기록됩니다. 메타데이터 및 인덱스 데이터는 다른 스트라이프 파일(.inx, .chd, .cdt 등)에 기록됩니다.
이 프로세스는 백업 데이터를 작은 조각으로 나누어 시스템 곳곳에 분산하므로, 백업 데이터를 '파쇄'합니다.
전체 파일을 읽을 수는 없지만 파일 조각을 볼 수는 있습니다. 데이터 스트라이프에서 'strings'를 실행하면 일반 텍스트 데이터 조각이 표시될 수 있습니다.
다음은 단일 노드 Avamar의 예입니다.
1. 저장 상태 암호화로 어떤 문제가 해결됩니까?
저장 상태 암호화는 사용자 백업 데이터를 포함하는 데이터 스트라이프를 암호화합니다.
이 기능이 활성화되어 있으면 누군가가 Avamar나 디스크 드라이브를 훔쳐가더라도 데이터를 읽으려면 먼저 암호 해독해야 합니다.
저장 상태 암호화를 사용하면 Avamar 애플리케이션 또는 OS 수준 액세스 권한이 있는 사람이 Avamar 시스템에 로그인하여 데이터를 복원하는 것을 방지할 수 있습니다. UI를 사용하거나 avtar 명령을 실행하고 GSAN 내의 파일을 유틸리티 노드로 복원하면 가능합니다.
2. 저장 상태 암호화를 언제 활성화할 수 있습니까?
Avamar Server의 수명이 시작될 때부터 적용되도록 설치 워크플로 중에 저장 상태 암호화를 활성화할 수 있습니다.
이 프로세스를 진행하는 동안 설치 프로그램에서 저장 상태 암호화를 위한 솔트와 비밀번호를 입력하라는 메시지가 표시됩니다. 솔트와 비밀번호가 지정되면 기능이 활성화됩니다.
시스템이 초기화된 후 저장 상태 암호화를 활성화할 수 있습니다. 그러나 초기화 후에 avmaint 명령을 실행하면 새로 생성된 데이터 스트라이프와 나중에 크런칭되는 데이터 스트라이프만 영향을 받습니다.
암호화되지 않은 모든 스트라이프에서 결국 크런칭이 발생한다고 확신할 수는 있지만 이를 보장할 수는 없습니다. 저장 상태 암호화가 활성화되기 전에 생성된 스트라이프는 오랫동안 암호화되지 않은 상태로 유지될 수 있습니다. 때로는 영원히 그럴 수도 있습니다.
예를 들어, Avamar가 정적 데이터(예: 호스트 이름과 같은 기밀 정보가 포함된 MCS 플러시)로 스트라이프를 채울 수 있습니다. 해당 스트라이프가 변경되지 않으면 가비지 컬렉션 또는 크런칭을 거치지 않으며 암호화되지 않습니다.
따라서 설치 워크플로의 일부로만 저장 상태 암호화를 활성화해야 합니다.
3. 저장 상태 암호화를 사용하는 경우의 성능 오버헤드
일반적인 질문은 "저장 상태 암호화로 설정된 시스템에서 diskreadonly 제한을 낮춰야 하는 이유는 무엇입니까?"입니다.
Avamar GSAN에 저장된 모든 스트라이프를 암호화하고 암호 해독하려면 스토리지 노드에서 많은 추가 작업을 수행해야 합니다.
엔지니어링 팀에서는 저장 상태 암호화가 비활성화된 시스템에 비해 최대 50% 더 많은 추가 처리 오버헤드가 필요하다는 것을 확인했습니다.
따라서 저장 상태 암호화가 활성화된 Avamar에서는 diskreadonly 제한을 기본값인 65%에서 40%로 줄여야 합니다. 즉, 스트라이프가 암호화되지 않은 경우와 동일한 양의 데이터를 저장하려면 1.5배의 노드 수가 필요합니다.
이는 적절한 성능과 신뢰성을 유지하기 위한 것입니다.
4. 저장 상태 암호화를 비활성화할 수 있습니까?
Avamar 시스템에서 저장 상태 암호화를 활성화한 후에는 비활성화할 수 없으며 암호화 솔트만 변경할 수 있습니다.
5. 저장 상태 암호화가 활성화되어 있음을 보여주는 방법
저장 상태 암호화가 활성화된 Avamar 시스템에서는 다음과 유사한 출력을 볼 수 있습니다.
avmaint nodelist --xmlperline=9999 | grep atrestencryption
다음과 유사한 정보가 명령 셸에 표시됩니다.
<atrestencryption-status enabled="true" nr-salts="1"/>
여기서,
enabled="true" nr-salts="1"은 저장 상태 암호화가 활성화되어 있음을 나타냅니다.
enabled="false" nr-salts="0"은 저장 상태 암호화가 활성화되어 있지 않음을 나타냅니다.
예:-
이는 고급 기능이며, 시스템 유지 보수 및 지원 작업에 사용되는 일반적인 Avamar 명령에 숙련되어 있다고 가정합니다. 그렇지 않으면 진행하지 마십시오. 적절히 숙련된 담당자에게 문의하십시오.
Avamar 기술 부록에는 "avmaint atrestencryption" 명령이 문서화되어 있지만 운영 Avamar 시스템에서 안전하게 구현하는 방법은 설명되어 있지 않습니다.
이 문서에서는 구현에 대해 설명하고 저장 상태 암호화와 관련된 몇 가지 일반적인 질문에 대한 답을 제시합니다.
- 저장 상태 암호화로 어떤 문제가 해결됩니까?
- 저장 상태 암호화를 언제 활성화할 수 있습니까?
- 저장 상태 암호화를 사용하는 경우의 성능 오버헤드
- 저장 상태 암호화를 비활성화할 수 있습니까?
- 저장 상태 암호화를 활성화하는 절차(Dell 내부 직원 및 파트너만 수행 가능)
- 저장 상태 암호화가 활성화되어 있음을 보여주는 방법
이러한 중복 제거된('원자성') 데이터 청크는 .dat 파일에 기록됩니다. 메타데이터 및 인덱스 데이터는 다른 스트라이프 파일(.inx, .chd, .cdt 등)에 기록됩니다.
이 프로세스는 백업 데이터를 작은 조각으로 나누어 시스템 곳곳에 분산하므로, 백업 데이터를 '파쇄'합니다.
전체 파일을 읽을 수는 없지만 파일 조각을 볼 수는 있습니다. 데이터 스트라이프에서 'strings'를 실행하면 일반 텍스트 데이터 조각이 표시될 수 있습니다.
다음은 단일 노드 Avamar의 예입니다.
admin@utility:/data01/cur/>: strings 000000000000002E.dat
5900>: Workorder received:
<restore pid="
firm="true" ack
msgver="5"
timeout="10"
="XXXD
ath="Mailbox Database 0904743075" key
sync="fg" cd
d15696dae634d00c120b45e56d0ad2410380d945" mx
6064/776
0/33" wr
<targets>.D
tem_info/BL)
upComponentsDocument.xml
{76fe1ac4-15f7-4bcd-987e-8t
b462fb7}01
_chain
데이터 청크에는 이메일 주소, IP 주소, 호스트 이름 또는 기타 기밀 정보가 포함될 수 있으므로 일부는 이를 허용할 수 없는 보안 위험으로 간주합니다.
1. 저장 상태 암호화로 어떤 문제가 해결됩니까?
저장 상태 암호화는 사용자 백업 데이터를 포함하는 데이터 스트라이프를 암호화합니다.
이 기능이 활성화되어 있으면 누군가가 Avamar나 디스크 드라이브를 훔쳐가더라도 데이터를 읽으려면 먼저 암호 해독해야 합니다.
저장 상태 암호화를 사용하면 Avamar 애플리케이션 또는 OS 수준 액세스 권한이 있는 사람이 Avamar 시스템에 로그인하여 데이터를 복원하는 것을 방지할 수 있습니다. UI를 사용하거나 avtar 명령을 실행하고 GSAN 내의 파일을 유틸리티 노드로 복원하면 가능합니다.
2. 저장 상태 암호화를 언제 활성화할 수 있습니까?
Avamar Server의 수명이 시작될 때부터 적용되도록 설치 워크플로 중에 저장 상태 암호화를 활성화할 수 있습니다.
이 프로세스를 진행하는 동안 설치 프로그램에서 저장 상태 암호화를 위한 솔트와 비밀번호를 입력하라는 메시지가 표시됩니다. 솔트와 비밀번호가 지정되면 기능이 활성화됩니다.
시스템이 초기화된 후 저장 상태 암호화를 활성화할 수 있습니다. 그러나 초기화 후에 avmaint 명령을 실행하면 새로 생성된 데이터 스트라이프와 나중에 크런칭되는 데이터 스트라이프만 영향을 받습니다.
암호화되지 않은 모든 스트라이프에서 결국 크런칭이 발생한다고 확신할 수는 있지만 이를 보장할 수는 없습니다. 저장 상태 암호화가 활성화되기 전에 생성된 스트라이프는 오랫동안 암호화되지 않은 상태로 유지될 수 있습니다. 때로는 영원히 그럴 수도 있습니다.
예를 들어, Avamar가 정적 데이터(예: 호스트 이름과 같은 기밀 정보가 포함된 MCS 플러시)로 스트라이프를 채울 수 있습니다. 해당 스트라이프가 변경되지 않으면 가비지 컬렉션 또는 크런칭을 거치지 않으며 암호화되지 않습니다.
따라서 설치 워크플로의 일부로만 저장 상태 암호화를 활성화해야 합니다.
3. 저장 상태 암호화를 사용하는 경우의 성능 오버헤드
일반적인 질문은 "저장 상태 암호화로 설정된 시스템에서 diskreadonly 제한을 낮춰야 하는 이유는 무엇입니까?"입니다.
Avamar GSAN에 저장된 모든 스트라이프를 암호화하고 암호 해독하려면 스토리지 노드에서 많은 추가 작업을 수행해야 합니다.
엔지니어링 팀에서는 저장 상태 암호화가 비활성화된 시스템에 비해 최대 50% 더 많은 추가 처리 오버헤드가 필요하다는 것을 확인했습니다.
따라서 저장 상태 암호화가 활성화된 Avamar에서는 diskreadonly 제한을 기본값인 65%에서 40%로 줄여야 합니다. 즉, 스트라이프가 암호화되지 않은 경우와 동일한 양의 데이터를 저장하려면 1.5배의 노드 수가 필요합니다.
이는 적절한 성능과 신뢰성을 유지하기 위한 것입니다.
4. 저장 상태 암호화를 비활성화할 수 있습니까?
Avamar 시스템에서 저장 상태 암호화를 활성화한 후에는 비활성화할 수 없으며 암호화 솔트만 변경할 수 있습니다.
5. 저장 상태 암호화가 활성화되어 있음을 보여주는 방법
저장 상태 암호화가 활성화된 Avamar 시스템에서는 다음과 유사한 출력을 볼 수 있습니다.
avmaint nodelist --xmlperline=9999 | grep atrestencryption
다음과 유사한 정보가 명령 셸에 표시됩니다.
<atrestencryption-status enabled="true" nr-salts="1"/>
여기서,
enabled="true" nr-salts="1"은 저장 상태 암호화가 활성화되어 있음을 나타냅니다.
enabled="false" nr-salts="0"은 저장 상태 암호화가 활성화되어 있지 않음을 나타냅니다.
예:-
avmaint nodelist --xmlperline=9999 | grep atrestencryption
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
초기화 시 또는 스트라이프가 생성되기 전에 저장 상태 암호화가 수행되는 시스템에서 스트라이프가 생성되고 암호화된 경우 이전과 같이 'strings' 명령을 사용하여 읽으려고 하면 의미 없는 내용만 포함됩니다.
admin@utility:/data01/cur/>: strings 0000000000000656.dat | less
p T7T5s| 1 N © M1 c]LP ,iCE ol v < #6U, ~ )XW D TU ( A: ) ~ ,t} '
3ET S _b kE l>5Q T yc ®x` `' s Kg 4g sh . 8 c! e , A M a M} kX; A 1v z
_ { !{a X JUS * nD 8+ TE2Tf S h,37 QX G * " ®u +8 ' !{+2w 6 PE
Additional Information
자주 묻는 질문:
Griffin 시스템(Avamar/Data Domain 조합)은 이 기능으로 어떻게 구성해야 합니까?
Avamar와 Data Domain 모두 각각 저장 상태 암호화로 구성해야 합니다.
Dell EMC Data Domain Encryption - 자주 묻는 질문
40% diskreadonly 레벨이 최신 Avamar 데이터 저장소 하드웨어에 계속 적용됩니까?
이에 관해서는 2016년 9월에 엔지니어링 팀에서 논의했습니다. 40% diskreadonly 설정은 최신 하드웨어(Gen4T)에 적용됩니다. 제품 관리 팀에서 요청을 고려하고 있지만 제한을 재평가할 계획은 없습니다.
고객에게 Avamar Server 복제 쌍이 있는 경우 두 시스템을 모두 E.A.R로 구성해야 합니까?
아니요, 각 시스템은 독립적입니다. 암호화된 시스템의 데이터가 암호화되지 않은 Avamar에 복제되면 타겟 시스템은 암호화되지 않은 스트라이프를 생성합니다.
마찬가지로, 암호화되지 않은 Avamar가 암호화된 시스템에 데이터를 복제하는 경우 백업은 암호화된 스트라이프에 기록됩니다.
저장 상태 암호화를 활성화한 후 비활성화할 수 있습니까?
아니요. 이렇게 하려면 저장 상태 암호화가 설정되지 않은 Avamar Server에 데이터를 복제해야 합니다.
고객에게 Avamar Server 복제 쌍이 있는 경우 두 시스템을 모두 E.A.R로 구성해야 합니까?
아니요, 각 시스템은 독립적입니다. 암호화된 시스템의 데이터가 암호화되지 않은 Avamar에 복제되면 타겟 시스템은 암호화되지 않은 스트라이프를 생성합니다.
마찬가지로, 암호화되지 않은 Avamar가 암호화된 시스템에 데이터를 복제하는 경우 백업은 암호화된 스트라이프에 기록됩니다.
저장 상태 암호화를 활성화한 후 비활성화할 수 있습니까?
아니요. 이렇게 하려면 저장 상태 암호화가 설정되지 않은 Avamar Server에 데이터를 복제해야 합니다.
Affected Products
AvamarProducts
Avamar, Avamar ServerArticle Properties
Article Number: 000046249
Article Type: How To
Last Modified: 10 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.