Avamar - Bekleyen Sifreleme islevini anlama
Summary: Bu makalede, amacı ve uyarıları dahil olmak üzere Avamar'ın bekleyen şifreleme işlevinin çeşitli yönleri ele alınmaktadır. Yalnızca Dell çalışanları ve iş ortaklarına açık olan bu makalenin dahili bölümlerinde Avamar'ın nasıl yapılandırılacağı açıklanmaktadır. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Bu makalenin amacı, Avamar Server'da bekleyen şifrelemenin kullanımını ele almaktır.
Bu gelişmiş bir özelliktir ve sistem bakımı ile destek etkinlikleri için kullanılan normal Avamar komutları konusunda deneyimli olduğunuzu varsayar. Aksi takdirde, devam etmeyin. Uygun becerilere sahip bir kişiye danışın.
Avamar Teknik Eki'nde, "avmaint atrestencryption" komutu belgelenmektedir ancak bu komutun bir üretim Avamar sisteminde nasıl güvenli bir şekilde uygulanacağı açıklanmamaktadır.
Bu makalede, uygulama açıklanmakta ve bekleyen şifreleme ile ilgili bazı yaygın sorular yanıtlanmaktadır.
Bu tekilleştirilmiş ("atomik") veri öbekleri .dat dosyalarına yazılır. Meta veriler ve dizin verileri diğer şerit dosyalarına (.inx, .chd, .cdt vb.) yazılır.
Bu işlem, küçük parçalara ayrıldığı ve sistemin etrafına dağıldığı için yedekleme verilerini "parçalar".
Dosyaların tamamı okunamasa da dosya parçalarını görüntülemek mümkündür. Bir veri şeridinde "dizeler" çalıştırırsak düz metin veri parçaları görünebilir.
Aşağıda tek düğümlü bir Avamar'dan bir örnek verilmiştir:
1. Bekleyen şifreleme hangi sorunu çözer?
Bekleyen şifreleme, kullanıcı yedekleme verilerini içeren veri şeritlerini şifreler.
Etkinleştirildikten sonra Avamar veya disk sürücüleri çalınırsa verilerin okunabilmesi için şifrelerinin çözülmesi gerekir.
Bekleyen şifreleme, Avamar uygulaması veya işletim sistemi düzeyinde erişime sahip bir kişinin Avamar sisteminde oturum açmasını ve verileri geri yüklemesini engeller. Bu, kullanıcı arayüzünü kullanarak veya avtar komutlarını çalıştırarak ve GSAN içindeki dosyaları yardımcı program düğümüne geri yükleyerek mümkün olur.
2. Bekleyen şifreleme ne zaman etkinleştirilebilir?
Bekleyen şifreleme, yükleme iş akışı sırasında etkinleştirilebilir, böylece Avamar Server'ın ömrünün başlangıcından itibaren geçerli olur.
Bu işlem sırasında yükleyici, bekleyen şifreleme için salt ve parola ister. Salt ve parola belirtilirse özellik etkinleştirilir.
Bir sistem başlatıldıktan sonra bekleyen şifreleme etkinleştirilebilir. Ancak başlatmadan sonra avmaint komutunun çalıştırılması yalnızca yeni oluşturulan veri şeritlerini ve daha sonra sıkıştırılan verileri etkiler.
Sıkıştırmanın nihayetinde her şifrelenmemiş şeritte gerçekleşeceğinden emin olsak da bunu garanti edemeyiz. Bekleyen şifreleme etkinleştirilmeden önce oluşturulan şeritler uzun süre şifrelenmemiş olarak kalabilir. Bazen sonsuza kadar bu şekilde kalabilir.
Örneğin, Avamar'ın bir şeridi statik verilerle (ana bilgisayar adları gibi hassas bilgiler içeren MCS temizleme işlemleri gibi) doldurma olasılığı vardır. Bu şerit hiçbir zaman değişmezse asla çöp toplama veya sıkıştırmaya tabi tutulmaz ve asla şifrelenmez.
Bu nedenle, bekleyen şifrelemeyi yalnızca yükleme iş akışının bir parçası olarak etkinleştirin.
3. Bekleyen şifrelemeyi kullanmanın performans yükü
Sık sorulan bir soru da şudur: "Bekleyen şifreleme ile ayarlanan sistemlerde diskreadonly sınırı neden düşürülmelidir?"
Avamar GSAN'da depolanan tüm şeritlerin şifrelenmesi veya şifresinin çözülmesi, depolama düğümleri tarafından çok fazla ek iş gerçekleştirilmesini gerektirir.
Mühendislik ekibi, gereken ek işleme yükünün, bekleyen şifrelemenin etkinleştirilmediği bir sistemden %50'ye kadar daha fazla olduğunu gözlemlemiştir.
Bu nedenle, bekleyen şifrelemenin etkinleştirildiği Avamar'da diskreadonly sınırı varsayılan %65 değerinden %40 değerine kadarDÜŞÜRÜLMELİDİR. Bu, şeritleri şifrelenmemiş bir düğümle aynı miktarda veri depolamak için 1,5 kat daha fazla düğüm gerektiği anlamına gelir.
Bunun amacı, kabul edilebilir performans ve güvenilirliğin sürdürülmesini sağlamaktır.
4. Bekleyen şifreleme devre dışı bırakılabilir mi?
Avamar sisteminde bekleyen şifreleme etkinleştirildikten sonra devre dışı bırakılamaz, yalnızca şifreleme saltları değiştirilebilir.
5. Bekleyen şifrelemenin etkin olduğunu gösterme.
Bekleyen şifrelemenin etkinleştirildiği bir Avamar sisteminde aşağıdakine benzer bir çıktı görmeniz gerekir:
avmaint nodelist --xmlperline=9999 | grep atrestencryption
Komut kabuğunda aşağıdakine benzer bilgiler görüntülenir:
<atrestencryption-status enabled="true" nr-salts="1"/>
Burada:
enabled="true" nr-salts="1" bekleyen şifrelemenin etkinleştirildiğini gösterir.
enabled="false" nr-salts="0" bekleyen şifrelemenin etkinleştirilmediğini gösterir.
Örnek:-
Bu gelişmiş bir özelliktir ve sistem bakımı ile destek etkinlikleri için kullanılan normal Avamar komutları konusunda deneyimli olduğunuzu varsayar. Aksi takdirde, devam etmeyin. Uygun becerilere sahip bir kişiye danışın.
Avamar Teknik Eki'nde, "avmaint atrestencryption" komutu belgelenmektedir ancak bu komutun bir üretim Avamar sisteminde nasıl güvenli bir şekilde uygulanacağı açıklanmamaktadır.
Bu makalede, uygulama açıklanmakta ve bekleyen şifreleme ile ilgili bazı yaygın sorular yanıtlanmaktadır.
- Bekleyen şifreleme hangi sorunu çözer?
- Bekleyen şifreleme ne zaman etkinleştirilebilir?
- Bekleyen şifrelemeyi kullanmanın performans yükü
- Bekleyen şifreleme devre dışı bırakılabilir mi?
- Bekleyen şifrelemeyi etkinleştirme prosedürü (yalnızca Dell dahili personeli ve iş ortakları tarafından kullanılabilir)
- Bekleyen şifrelemenin etkin olduğunu gösterme
Bu tekilleştirilmiş ("atomik") veri öbekleri .dat dosyalarına yazılır. Meta veriler ve dizin verileri diğer şerit dosyalarına (.inx, .chd, .cdt vb.) yazılır.
Bu işlem, küçük parçalara ayrıldığı ve sistemin etrafına dağıldığı için yedekleme verilerini "parçalar".
Dosyaların tamamı okunamasa da dosya parçalarını görüntülemek mümkündür. Bir veri şeridinde "dizeler" çalıştırırsak düz metin veri parçaları görünebilir.
Aşağıda tek düğümlü bir Avamar'dan bir örnek verilmiştir:
admin@utility:/data01/cur/>: strings 000000000000002E.dat
5900>: Workorder received:
<restore pid="
firm="true" ack
msgver="5"
timeout="10"
="XXXD
ath="Mailbox Database 0904743075" key
sync="fg" cd
d15696dae634d00c120b45e56d0ad2410380d945" mx
6064/776
0/33" wr
<targets>.D
tem_info/BL)
upComponentsDocument.xml
{76fe1ac4-15f7-4bcd-987e-8t
b462fb7}01
_chain
Veri öbekleri; e-posta adresleri, IP adresleri, ana bilgisayar adları veya diğer hassas bilgileri içerebileceğinden, bazıları bunu kabul edilemez bir güvenlik riski olarak kabul eder.
1. Bekleyen şifreleme hangi sorunu çözer?
Bekleyen şifreleme, kullanıcı yedekleme verilerini içeren veri şeritlerini şifreler.
Etkinleştirildikten sonra Avamar veya disk sürücüleri çalınırsa verilerin okunabilmesi için şifrelerinin çözülmesi gerekir.
Bekleyen şifreleme, Avamar uygulaması veya işletim sistemi düzeyinde erişime sahip bir kişinin Avamar sisteminde oturum açmasını ve verileri geri yüklemesini engeller. Bu, kullanıcı arayüzünü kullanarak veya avtar komutlarını çalıştırarak ve GSAN içindeki dosyaları yardımcı program düğümüne geri yükleyerek mümkün olur.
2. Bekleyen şifreleme ne zaman etkinleştirilebilir?
Bekleyen şifreleme, yükleme iş akışı sırasında etkinleştirilebilir, böylece Avamar Server'ın ömrünün başlangıcından itibaren geçerli olur.
Bu işlem sırasında yükleyici, bekleyen şifreleme için salt ve parola ister. Salt ve parola belirtilirse özellik etkinleştirilir.
Bir sistem başlatıldıktan sonra bekleyen şifreleme etkinleştirilebilir. Ancak başlatmadan sonra avmaint komutunun çalıştırılması yalnızca yeni oluşturulan veri şeritlerini ve daha sonra sıkıştırılan verileri etkiler.
Sıkıştırmanın nihayetinde her şifrelenmemiş şeritte gerçekleşeceğinden emin olsak da bunu garanti edemeyiz. Bekleyen şifreleme etkinleştirilmeden önce oluşturulan şeritler uzun süre şifrelenmemiş olarak kalabilir. Bazen sonsuza kadar bu şekilde kalabilir.
Örneğin, Avamar'ın bir şeridi statik verilerle (ana bilgisayar adları gibi hassas bilgiler içeren MCS temizleme işlemleri gibi) doldurma olasılığı vardır. Bu şerit hiçbir zaman değişmezse asla çöp toplama veya sıkıştırmaya tabi tutulmaz ve asla şifrelenmez.
Bu nedenle, bekleyen şifrelemeyi yalnızca yükleme iş akışının bir parçası olarak etkinleştirin.
3. Bekleyen şifrelemeyi kullanmanın performans yükü
Sık sorulan bir soru da şudur: "Bekleyen şifreleme ile ayarlanan sistemlerde diskreadonly sınırı neden düşürülmelidir?"
Avamar GSAN'da depolanan tüm şeritlerin şifrelenmesi veya şifresinin çözülmesi, depolama düğümleri tarafından çok fazla ek iş gerçekleştirilmesini gerektirir.
Mühendislik ekibi, gereken ek işleme yükünün, bekleyen şifrelemenin etkinleştirilmediği bir sistemden %50'ye kadar daha fazla olduğunu gözlemlemiştir.
Bu nedenle, bekleyen şifrelemenin etkinleştirildiği Avamar'da diskreadonly sınırı varsayılan %65 değerinden %40 değerine kadarDÜŞÜRÜLMELİDİR. Bu, şeritleri şifrelenmemiş bir düğümle aynı miktarda veri depolamak için 1,5 kat daha fazla düğüm gerektiği anlamına gelir.
Bunun amacı, kabul edilebilir performans ve güvenilirliğin sürdürülmesini sağlamaktır.
4. Bekleyen şifreleme devre dışı bırakılabilir mi?
Avamar sisteminde bekleyen şifreleme etkinleştirildikten sonra devre dışı bırakılamaz, yalnızca şifreleme saltları değiştirilebilir.
5. Bekleyen şifrelemenin etkin olduğunu gösterme.
Bekleyen şifrelemenin etkinleştirildiği bir Avamar sisteminde aşağıdakine benzer bir çıktı görmeniz gerekir:
avmaint nodelist --xmlperline=9999 | grep atrestencryption
Komut kabuğunda aşağıdakine benzer bilgiler görüntülenir:
<atrestencryption-status enabled="true" nr-salts="1"/>
Burada:
enabled="true" nr-salts="1" bekleyen şifrelemenin etkinleştirildiğini gösterir.
enabled="false" nr-salts="0" bekleyen şifrelemenin etkinleştirilmediğini gösterir.
Örnek:-
avmaint nodelist --xmlperline=9999 | grep atrestencryption
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
Bekleyen şifrelemenin başlatma sırasında veya herhangi bir şerit oluşturulmadan önce gerçekleştirildiği bir sistemde, şeritler oluşturulduktan ve şifrelendikten sonra daha önce olduğu gibi "strings" komutunu kullanarak okumaya çalışırsak yalnızca anlamsız şeyler içerirler.
admin@utility:/data01/cur/>: strings 0000000000000656.dat | less
p T7T5s| 1 N © M1 c]LP ,iCE ol v < #6U, ~ )XW D TU ( A: ) ~ ,t} '
3ET S _b kE l>5Q T yc ®x` `' s Kg 4g sh . 8 c! e , A M a M} kX; A 1v z
_ { !{a X JUS * nD 8+ TE2Tf S h,37 QX G * " ®u +8 ' !{+2w 6 PE
Additional Information
Sık sorulan sorular:
Griffin sistemleri (Avamar/DataDomain kombinasyonu) bu özellik ile nasıl yapılandırılmalıdır?
Hem Avamar hem Data Domain, bekleyen şifreleme ile ayrı ayrı yapılandırılmalıdır.
Dell EMC Data Domain Encryption - Sık Sorulan Sorular
%40 diskreadonly düzeyi en son Avamar Datastore donanımı için hala geçerli mi?
Bu konu hakkında Eylül 2016'da Mühendislik ekibine danışıldı. %40 diskreadonly ayarı en son donanım (Gen4T) için geçerlidir. Ürün yönetimi isteği değerlendiriyor ancak sınırı yeniden değerlendirmek gibi bir planı yok.
Müşterinin Avamar Server çoğaltma çifti varsa her iki sistem de E.A.R ile yapılandırılmalı mı?
Hayır, her sistem bağımsızdır. Şifrelenmiş bir sistemdeki veriler şifrelenmemiş bir Avamar'a çoğaltıldığında, hedef sistem şifrelenmemiş şeritler oluşturur.
Benzer şekilde, şifrelenmemiş bir Avamar, verileri şifrelenmiş bir sisteme çoğaltırsa yedeklemeler şifrelenmiş şeritlere yazılır.
Etkinleştirildiğinde, bekleyen şifreleme devre dışı bırakılabilir mi?
Hayır. Bunu sağlamak için verilerin, bekleyen şifrelemenin ayarlanmadığı bir Avamar sunucusuna çoğaltılması gerekir.
Müşterinin Avamar Server çoğaltma çifti varsa her iki sistem de E.A.R ile yapılandırılmalı mı?
Hayır, her sistem bağımsızdır. Şifrelenmiş bir sistemdeki veriler şifrelenmemiş bir Avamar'a çoğaltıldığında, hedef sistem şifrelenmemiş şeritler oluşturur.
Benzer şekilde, şifrelenmemiş bir Avamar, verileri şifrelenmiş bir sisteme çoğaltırsa yedeklemeler şifrelenmiş şeritlere yazılır.
Etkinleştirildiğinde, bekleyen şifreleme devre dışı bırakılabilir mi?
Hayır. Bunu sağlamak için verilerin, bekleyen şifrelemenin ayarlanmadığı bir Avamar sunucusuna çoğaltılması gerekir.
Affected Products
AvamarProducts
Avamar, Avamar ServerArticle Properties
Article Number: 000046249
Article Type: How To
Last Modified: 10 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.