Data Domain 云层：将 Data Domain 与 Amazon AWS S3 集成

以下文章将指导您完成使用 Amazon AWS S3 配置 Data Domain 云层功能所需的步骤。
本指南主要分为 4 个主要部分：

• 从 aws“IAM”添加所需的 Amazon AWS 用户凭证  
• 导入 CA 证书以启用 Data Domain 与 S3 之间的通信
• 从 Data Domain 添加云单元 
• 云单元的命名 

首先：添加“IAM”用户凭证

将 Data Domain 云层与 Amazon AWS S3 集成的第一步是从 aws“IAM”添加所需的 AWS 用户凭据。此用户凭据将导入到 Data Domain 系统，以授权与 Amazon S3

通信AWS 用户凭据必须具有以下权限：

• 创建和删除存储区
• 在他们创建的存储区中添加、修改和删除文件。

S3FullAccess 是首选，但以下是最低要求：

• CreateBucket 
• ListBucket
• DeleteBucket
• ListAllMyBuckets
• GetObject
• PutObject
• DeleteObject

一个。转至 https://aws.amazon.com/ 并登录 AWS 控制台或创建一个新账户（如果这是您的第一次）：


B.从左上角选择 services，然后搜索 IAM （AWS Identity and Access Management），以便我们可以创建和管理 AWS 用户和组，并使用权限来允许和拒绝他们对 AWS 资源的访问：


C。从 IAM 页面中，从左侧菜单中选择“users”，然后选择“add user”：


D。为新用户指定一个名称，例如：“DD_S3_cloudtier”。
选择要为其提供编程访问权限的访问类型，然后单击 Next：


E. 向此用户授予使用 S3 资源所需的权限。选择将用户添加到组，然后选择创建组：


F。为该组指定唯一名称。例如：输入“S3FullAccess_DD_cloudtier”，然后搜索“AmazonS3FullAccess”。当结果菜单中显示该选项时，选择它，然后单击 Create group：


G.系统将提示您返回上一菜单。选择我们刚刚创建的组“S3FullAccess_DD_cloudtier”，然后单击 Next Tags：


H.在“Review”菜单上，仔细检查您输入的详细信息是否正确，然后单击“Create user”：


I. 我们到达一个重要的页面：
您现在拥有了用户的“access key ID”和“secret access key”。您将使用它们将 Data Domain 与您的 S3 资源集成。单击“download .csv”并将此 CSV 文件保存在安全的位置，并复制访问密钥 ID 和秘密访问密钥，因为我们将在 Data Domain：Second 中用到它们：



导入 CA 证书
您必须导入 CA 证书才能启用 Data Domain 系统与 Amazon S3 之间的通信。

一个。要下载 AWS 根证书，请转至 https://www.digicert.com/digicert-root-certificates.htm，然后选择 Baltimore CyberTrust 根证书：

 

• 如果您下载的证书具有 .CRT 扩展名，则必须转换为 PEM 编码的证书。如果是这样，请使用 OpenSSL 将文件从 .crt 格式转换为 .pem。例如，openssl x509 -inform der -in BaltimoreCyberTrustRoot.crt -out BaltimoreCyberTrustRoot.pem。
• 您可以从以下知识库文章中了解有关如何将证书转换为 PEM 的更多信息：https://support.emc.com/kb/488482

B.转至 Data Domain GUI 并按照以下过程作： 

• 1.选择Data ManagementFile > SystemCloud > Units。
• 2.在工具栏中，单击Manage Certificates。此时将显示Manage Certificates for Cloud对话框。
• 3.单击 Add。
• 4.选择以下选项之一：
  • 我想以 .pem 文件的形式上传证书。

•  我想复制并粘贴证书文本。

                   将 .pem 文件的内容复制到拷贝缓冲区。
                   将缓冲区粘贴到对话框中。

• 5.单击 Add。

我们完成了 CA 证书的添加。接下来，我们将从 Data Domain GUI 添加 S3 云单元。

第三：  将法规影响力单位添加到 Data Domain
以下是 DDOS 版本及其可用云层选项之间的一些差异的快速比较：
 

 
从 Data Domain GUI 中，按照以下步骤添加 S3 云单元：

• 1.选择Data ManagementFile > SystemCloud > Units。
• 2.单击 Add。此时将显示Add Cloud Unit对话框。
• 3.输入此云单元的名称。仅允许使用字母数字字符。Add Cloud Unit对话框中的剩余字段与云提供商帐户相关。
• 4.对于 Cloud provider，从下拉列表中选择 Amazon Web Services S3。
• 5.从下拉列表中选择存储类。根据 DDOS 的版本，您将根据上表找到不同的选项。

           通过以下链接了解有关不同受支持 S3 存储类的更多详细信息，以选择最适合您的备份需求的存储类：
           https://aws.amazon.com/s3/storage-classes/
           

• 6.从下拉列表中选择相应的存储区域。
• 7.输入提供商的访问密钥“作为密码文本”，即我们在步骤 1 中从 Amazon IAM 获得的密钥。 
• 8.输入提供商的密钥“作为密码文本”，即我们在步骤 1 中从 Amazon IAM 获得的密钥。
• 9.确保防火墙未阻止端口 443 （HTTPS）。与 AWS 云提供商的通信发生在端口 443 上。
• 10.如果需要 HTTP 代理服务器来绕过此提供程序的防火墙，请单击 HTTP 代理服务器的配置。输入代理主机名、端口、用户和密码。

• 11. 如果您的 DDOS >= 6.1.1.5，则单击 Cloud Verification按钮。

         可在此处找到有关 Data Domain 云验证工具的更多详细信息：https://support.emc.com/kb/521796
          
如果您的 DDOS 版本为 6.0，则单击 Add，因为此版本中不提供云验证选项。 

• 12.单击 Add。文件系统主窗口现在显示新云单元的摘要信息，以及用于启用和禁用云单元的控件。
•  

提醒：之后，您可以根据需要从 Data Domain GUI 轻松更新 S3 云单元访问密钥和密码访问密钥 ID。


第三：  云单元
的命名如果我们现在返回到 Amazon S3，我们会发现 Data Domain 系统为此云单元创建了 3 个存储区：


这 3 个存储区的命名约定如下：

• 16 个字符的十六进制字符串。
• 破折号字符 （'-'）。
• 另一个 16 个字符的十六进制字符串， 该十六进制字符串对于此云单元是唯一的。
• 另一个破折号字符 （'-'）。
• 存储区将以字符串“-d0”、“-c0”和“-m0”结尾。
• 以字符串“-d0”结尾的存储区用于数据段。
• 以字符串“-c0”结尾的存储区用于配置数据。
• 以字符串“-m0”结尾的存储区用于元数据。

您现在已完成创建与 Data Domain 系统集成的 S3 云单元，并已准备好开始为 Mtree 应用数据移动策略，以将数据迁移到新创建的云层单元。

• 为了获得更好的云层功能，我们建议升级到 DDOS 6.1.2.0 及更高版本，以受益于这些版本中添加的“云层的大对象大小”功能，从而更好地优化成本和空间。

           有关更多详细信息，请查看以下知识库文章：https://support.emc.com/kb/522706
 

• 如何从 Data Domain 中删除云层单元：有关更多详细信息，请查看以下知识库文章：https://support.emc.com/kb/488612

• 配置数据移动策略，以及有关云层的更多详细信息：

           请查看以下管理员指南（从第 427 页开始了解数据移动策略配置）：
           https://support.emc.com/docu78746_Data-Domain-Operating-System-6.0-Administration-Guide.pdf?language=en_US
 

• 云层清理：有关更多详细信息，请查看以下知识库文章：https://support.emc.com/kb/487657