Avamar — 了解静态加密功能
Summary: 本文讨论了 Avamar 的静态加密功能的各个方面,包括其用途和注意事项。本文的内部部分(仅供戴尔员工和合作伙伴查看)说明了如何配置该功能。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
本文旨在讨论如何在 Avamar Server 上使用静态加密。
这是一项高级功能,本文假定您拥有用于系统维护和支持活动的常规 Avamar 命令的使用经验,否则请勿继续,请咨询具有相应技能的人员。
Avamar 技术附录记录了“avmaint atrestencryption”命令,但未介绍如何在生产 Avamar 系统上安全地实现它。
本文介绍了如何实现,并回答了一些与静态加密相关的常见问题。
这些经过重复数据消除的(“原子”)数据块被写入 .dat 文件。元数据和索引数据被写入其他条带文件(.inx、.chd、.cdt 等)。
此过程会“粉碎”备份数据,因为备份数据被分解成小块并分散在系统中。
虽然无法读取整个文件,但可以查看文件的片段。如果我们在数据条带上运行“strings”,则可以看到纯文本数据片段。
下面是来自单节点 Avamar 的示例:
1.静态加密解决了什么问题?
静态加密对包含用户备份数据的数据条带进行加密。
启用后,如果有人窃取了 Avamar 或其磁盘驱动器,则需要先解密数据,然后才能读取数据。
静态加密可以阻止具有 Avamar 应用程序或操作系统级别访问权限的人员登录 Avamar 系统并还原数据。这可以使用 UI 或通过运行 avtar 命令并将 GSAN 中的文件还原到实用程序节点来实现。
2.什么时候可以启用静态加密?
可以在安装工作流期间启用静态加密,使其在 Avamar Server 生命周期之初就生效。
在此过程中,安装程序会提示输入静态加密的盐值和密码。如果指定了盐值和密码,则会启用该功能。
系统初始化后便可以启用静态加密。但是,在初始化后运行 avmaint 命令仅影响新创建的数据条带和之后处理的数据条带。
尽管我们可以确信,处理最终会发生在每个未加密的条带上,但我们不能保证这一点。在启用静态加密之前创建的条带可能会在很长一段时间内保持未加密状态,有时可能是永远。
例如,Avamar 可能会用静态数据填满条带(例如,包含主机名等敏感信息的 MCS 刷新)。 如果该条带从不发生变化,那么它永远不会经历垃圾数据收集或处理,也永远不会加密。
因此,请仅在安装工作流中启用静态加密。
3.使用静态加密的性能开销
一个常见问题是“为什么必须在设置了静态加密的系统上降低 diskreadonly 限制?”
加密和解密存储在 Avamar GSAN 中的所有条带需要由存储节点执行大量额外的工作。
工程部门发现,与未启用静态加密的系统相比,所需的额外处理开销高出至多 50%。
因此,在启用了静态加密的 Avamar 上,必须将 diskreadonly 限制从默认的 65% 降低到 40%。这意味着,如果要存储与条带未加密的系统相同的数据量,需要 1.5 倍的节点。
这是为了确保维持可接受的性能和可靠性。
4.是否可以禁用静态加密?
在 Avamar 系统上启用静态加密后,将无法禁用它,只能更改加密码盐值。
5.如何证明静态加密已启用。
在已启用静态加密的 Avamar 系统上,您应该会看到类似于以下内容的输出
avmaint nodelist --xmlperline=9999 | grep atrestencryption
命令 shell 中会显示类似以下内容的信息:
<atrestencryption-status enabled="true" nr-salts="1"/>
其中:
enabled="true" nr-salts="1" 表示已启用静态加密。
enabled="false" nr-salts="0" 表示未启用静态加密。
示例:
这是一项高级功能,本文假定您拥有用于系统维护和支持活动的常规 Avamar 命令的使用经验,否则请勿继续,请咨询具有相应技能的人员。
Avamar 技术附录记录了“avmaint atrestencryption”命令,但未介绍如何在生产 Avamar 系统上安全地实现它。
本文介绍了如何实现,并回答了一些与静态加密相关的常见问题。
- 静态加密解决了什么问题?
- 什么时候可以启用静态加密?
- 使用静态加密的性能开销
- 是否可以禁用静态加密?
- 启用静态加密的过程(仅供戴尔内部员工和合作伙伴查看)
- 如何证明静态加密已启用
这些经过重复数据消除的(“原子”)数据块被写入 .dat 文件。元数据和索引数据被写入其他条带文件(.inx、.chd、.cdt 等)。
此过程会“粉碎”备份数据,因为备份数据被分解成小块并分散在系统中。
虽然无法读取整个文件,但可以查看文件的片段。如果我们在数据条带上运行“strings”,则可以看到纯文本数据片段。
下面是来自单节点 Avamar 的示例:
admin@utility:/data01/cur/>: strings 000000000000002E.dat
5900>: Workorder received:
<restore pid="
firm="true" ack
msgver="5"
timeout="10"
="XXXD
ath="Mailbox Database 0904743075" key
sync="fg" cd
d15696dae634d00c120b45e56d0ad2410380d945" mx
6064/776
0/33" wr
<targets>.D
tem_info/BL)
upComponentsDocument.xml
{76fe1ac4-15f7-4bcd-987e-8t
b462fb7}01
_chain
由于数据块可能包含电子邮件地址、IP 地址、主机名或其他敏感信息,有些人认为这是不可接受的安全风险。
1.静态加密解决了什么问题?
静态加密对包含用户备份数据的数据条带进行加密。
启用后,如果有人窃取了 Avamar 或其磁盘驱动器,则需要先解密数据,然后才能读取数据。
静态加密可以阻止具有 Avamar 应用程序或操作系统级别访问权限的人员登录 Avamar 系统并还原数据。这可以使用 UI 或通过运行 avtar 命令并将 GSAN 中的文件还原到实用程序节点来实现。
2.什么时候可以启用静态加密?
可以在安装工作流期间启用静态加密,使其在 Avamar Server 生命周期之初就生效。
在此过程中,安装程序会提示输入静态加密的盐值和密码。如果指定了盐值和密码,则会启用该功能。
系统初始化后便可以启用静态加密。但是,在初始化后运行 avmaint 命令仅影响新创建的数据条带和之后处理的数据条带。
尽管我们可以确信,处理最终会发生在每个未加密的条带上,但我们不能保证这一点。在启用静态加密之前创建的条带可能会在很长一段时间内保持未加密状态,有时可能是永远。
例如,Avamar 可能会用静态数据填满条带(例如,包含主机名等敏感信息的 MCS 刷新)。 如果该条带从不发生变化,那么它永远不会经历垃圾数据收集或处理,也永远不会加密。
因此,请仅在安装工作流中启用静态加密。
3.使用静态加密的性能开销
一个常见问题是“为什么必须在设置了静态加密的系统上降低 diskreadonly 限制?”
加密和解密存储在 Avamar GSAN 中的所有条带需要由存储节点执行大量额外的工作。
工程部门发现,与未启用静态加密的系统相比,所需的额外处理开销高出至多 50%。
因此,在启用了静态加密的 Avamar 上,必须将 diskreadonly 限制从默认的 65% 降低到 40%。这意味着,如果要存储与条带未加密的系统相同的数据量,需要 1.5 倍的节点。
这是为了确保维持可接受的性能和可靠性。
4.是否可以禁用静态加密?
在 Avamar 系统上启用静态加密后,将无法禁用它,只能更改加密码盐值。
5.如何证明静态加密已启用。
在已启用静态加密的 Avamar 系统上,您应该会看到类似于以下内容的输出
avmaint nodelist --xmlperline=9999 | grep atrestencryption
命令 shell 中会显示类似以下内容的信息:
<atrestencryption-status enabled="true" nr-salts="1"/>
其中:
enabled="true" nr-salts="1" 表示已启用静态加密。
enabled="false" nr-salts="0" 表示未启用静态加密。
示例:
avmaint nodelist --xmlperline=9999 | grep atrestencryption
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
在初始化时或创建任何条带之前执行静态加密的系统上,一旦创建并加密了条带,如果我们尝试像之前一样使用“strings”命令读取它们,它们会仅包含乱码。
admin@utility:/data01/cur/>: strings 0000000000000656.dat | less
p T7T5s| 1 N © M1 c]LP ,iCE ol v < #6U, ~ )XW D TU ( A: ) ~ ,t} '
3ET S _b kE l>5Q T yc ®x` `' s Kg 4g sh . 8 c! e , A M a M} kX; A 1v z
_ { !{a X JUS * nD 8+ TE2Tf S h,37 QX G * " ®u +8 ' !{+2w 6 PE
Additional Information
常见问题:
Griffin 系统(Avamar/Data Domain 组合)应该如何配置该功能?
应分别为 Avamar 和 Data Domain 配置静态加密。
Dell EMC Data Domain Encryption — 常见问题
40% diskreadonly 是否仍然适用于最新的 Avamar Datastore 硬件?
工程部门在 2016 年 9 月收到关于此问题的咨询。40% diskreadonly 设置适用于最新的硬件 (Gen4T)。产品管理部门正在考虑该请求,但没有重新评估此限制的计划。
如果客户有一个 Avamar Server 复制对,是否两个系统都必须配置 E.A.R?
否,每个系统都是独立的。将加密系统上的数据复制到未加密的 Avamar 时,目标系统会创建未加密条带。
同样,如果未加密的 Avamar 将数据复制到加密系统,备份将写入加密条带。
启用静态加密后是否可以禁用它?
否。要实现这个目的,必须将数据复制到未设置静态加密的 Avamar Server。
如果客户有一个 Avamar Server 复制对,是否两个系统都必须配置 E.A.R?
否,每个系统都是独立的。将加密系统上的数据复制到未加密的 Avamar 时,目标系统会创建未加密条带。
同样,如果未加密的 Avamar 将数据复制到加密系统,备份将写入加密条带。
启用静态加密后是否可以禁用它?
否。要实现这个目的,必须将数据复制到未设置静态加密的 Avamar Server。
Affected Products
AvamarProducts
Avamar, Avamar ServerArticle Properties
Article Number: 000046249
Article Type: How To
Last Modified: 10 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.