Data Domain. Как настроить безопасную репликацию между модулями восстановления Data Domain (DDR) при репликации через общедоступный Интернет
Сводка: В этой статье описывается настройка безопасной репликации между модулями восстановления Data Domain (DDR) при репликации через общедоступный Интернет
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Инструкции
В операционную систему Data Domain (DDOS) версии 6.0.x (и более поздней) внесены изменения, позволяющие обеспечить безопасную репликацию данных через общедоступный Интернет. Эта функция предназначена для защиты от атак типа «человек посередине» (MITM), допускающей несанкционированный доступ к данным. Он основан на безопасной проверке подлинности с помощью информации, связанной с сертификатом SSL в исходных и целевых модулях восстановления Data Domain Restorer (DDR).
Аутентификацию можно настроить в одном из трех режимов:
Начиная с первых выпусков, эту функциональность можно настроить только с помощью оболочки командной строки Data Domain (DDSH), и пока ее нельзя настроить с помощью графического интерфейса пользователя (например, Data Domain System Manager/Management Center).
Предварительные требования:
# net ping [имя хоста удаленной DDR]
Установите взаимное доверие с удаленной системой:
# adminaccess trust add host [имя хоста удаленной системы] type mutual
Шаги по настройке контекста безопасной репликации:
Обратите внимание, что безопасная репликация поддерживается всеми протоколами репликации (т. е. для каталогов, mtree или коллекции), однако в следующем примере используется репликация mtree. При использовании других протоколов репликации команды необходимо изменить соответствующим образом.
Аутентификацию можно настроить в одном из трех режимов:
- Анонимный: Аутентификация не применяется к подключениям
- Односторонний: Сертифицирован только целевой SSL-сертификат
- Двусторонний: SSL-сертификаты исходного и целевого ресурсов сертифицированы
Начиная с первых выпусков, эту функциональность можно настроить только с помощью оболочки командной строки Data Domain (DDSH), и пока ее нельзя настроить с помощью графического интерфейса пользователя (например, Data Domain System Manager/Management Center).
Предварительные требования:
- Убедитесь, что исходная и целевая память DDR работают под управлением DDOS версии 6.0.x (или более поздней)
- Убедитесь, что в исходный и целевой DDR добавлена лицензия репликации
- Убедитесь, что на всех межсетевых экранах между исходным и целевым DDR открыты необходимые порты (дополнительные сведения см. в статье базы знаний 323297 ): Требования к портам для разрешения доступа к системе Data Domain через межсетевой экран)
- Убедитесь в том, что между исходным и целевым DDR установлено взаимное доверие (обратите внимание, что для этого должен быть открыт порт 3009 между DDR, как описано в вышеприведенном документе)
Войдите в интерфейс командной строки в исходной и целевой системах и убедитесь, что отправка ping-запроса возможна в обоих направлениях и что доверие установлено в обоих направлениях.
Убедитесь, что имя хоста удаленной системы разрешимо или доступно для связи:
# net ping [имя хоста удаленной DDR]
Установите взаимное доверие с удаленной системой:
# adminaccess trust add host [имя хоста удаленной системы] type mutual
- Перезапустите файловую систему Data Domain (DDFS) в исходной и целевой системах (чтобы обеспечить полное установление взаимного доверия). Обратите внимание, что это приведет к кратковременному перебою в работе служб на каждом DDR:
# Перезапуск файловых систем
Примечание. Можно проверить наличие доверий, выполнив следующую команду в исходной и целевой системах. Если вы находитесь в исходной системе Data Domain, используйте имя целевого хоста, и наоборот, если вы находитесь в целевой системе.
# adminaccess trust show [имя хоста]
Шаги по настройке контекста безопасной репликации:
Обратите внимание, что безопасная репликация поддерживается всеми протоколами репликации (т. е. для каталогов, mtree или коллекции), однако в следующем примере используется репликация mtree. При использовании других протоколов репликации команды необходимо изменить соответствующим образом.
- Создайте новый контекст репликации (обратите внимание, что эта команда должна выполняться в исходной и целевой системах):
# replication add source mtree://[имя хоста исходной DDR]/data/col1/[имя исходного MTree] destination mtree://[имя хоста целевой DDR]/data/col1/[имя целевого MTree] Режим аутентификации с поддержкой шифрования {anonymous | one-way | two-way}
- Инициализируйте контекст репликации в исходной системе:
# инициализация репликации mtree://[имя хоста целевой DDR]/data/col1/[имя целевого MTree]
Затронутые продукты
Cloud Disaster RecoveryПродукты
Data Domain, Data Domain Replicator, DD OS 6.0Свойства статьи
Номер статьи: 000019129
Тип статьи: How To
Последнее изменение: 05 Sep 2025
Версия: 5
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.