Домен даних: Як налаштувати безпечну реплікацію між реставраторами доменів даних (DDR) під час реплікації через загальнодоступний Інтернет
Summary: У цій статті описано, як налаштувати безпечну реплікацію між реставраторами домену даних (DDR) під час реплікації через загальнодоступний Інтернет
Ця стаття стосується
Ця стаття не стосується
Ця стаття не стосується якогось конкретного продукту.
У цій статті зазначено не всі версії продукту.
Instructions
Операційна система домену даних (DDOS) версії 6.0.x (і пізнішої) вносить зміни, що дозволяють безпечну реплікацію даних через загальнодоступний Інтернет. Ця функція призначена для захисту від атаки "людина посередині" (MITM), яка дозволяє отримати несанкціонований доступ до даних. Він заснований на безпечній автентифікації за допомогою інформації, пов'язаної з сертифікатами рівня захищених сокетів (SSL), на відновлювачах доменів джерельних і цільових даних (DDR).
Аутентифікацію можна налаштувати в одному з трьох режимів:
Станом на початкові випуски ця функціональність може бути налаштована лише через командну оболонку Data Domain (DDSH) і поки що не може бути налаштована за допомогою будь-якого графічного інтерфейсу користувача (наприклад, Data Domain System Manager/Management Center).
Вимоги до кандидатів:
# net ping [ім'я хоста віддаленого DDR]
Встановіть взаємну довіру з віддаленою системою:
# adminaccess trust add host [ім'я хоста віддаленої системи] тип взаємний
Кроки для налаштування безпечного контексту реплікації:
Зверніть увагу, що безпечна реплікація підтримується всіма протоколами реплікації (тобто directory/mtree/collection), однак у наступному прикладі використовується реплікація mtree. Якщо використовуються інші протоколи реплікації, команди потрібно буде змінювати за потреби.
Аутентифікацію можна налаштувати в одному з трьох режимів:
- Безіменний: Автентифікація не застосовується до з'єднань
- Односторонній: Сертифіковано лише сертифікат SSL призначення
- Двосторонній: SSL-сертифікати як джерела, так і одержувача сертифіковані
Станом на початкові випуски ця функціональність може бути налаштована лише через командну оболонку Data Domain (DDSH) і поки що не може бути налаштована за допомогою будь-якого графічного інтерфейсу користувача (наприклад, Data Domain System Manager/Management Center).
Вимоги до кандидатів:
- Переконайтеся, що як вихідний, так і цільовий DDR використовують DDOS 6.0.x (або пізнішу версію)
- Переконайтеся, що ліцензію на реплікацію було додано як до вихідного, так і до цільового DDR
- Переконайтеся, що на всіх брандмауерах між джерелом і DDR було відкрито необхідні порти (див. статтю бази знань 323297 для отримання додаткової інформації: Вимоги до портів для надання доступу до системи Data Domain через брандмауер)
- Переконайтеся, що між DDR джерела та призначення встановлено взаємну довіру (зауважте, що для цього потрібен порт 3009 для відкриття між DDR відповідно до вищезазначеного документа)
Увійдіть у CLI як на вихідній, так і на цільовій системах і переконайтеся, що ви можете пінгувати в обох напрямках, і що довіра встановлена в обох напрямках.
Переконайтеся, що ім'я хоста віддаленої системи є розв'язуваним/контактним:
# net ping [ім'я хоста віддаленого DDR]
Встановіть взаємну довіру з віддаленою системою:
# adminaccess trust add host [ім'я хоста віддаленої системи] тип взаємний
- Перезапустіть файлову систему домену даних (DDFS) як на джерелі, так і на системі призначення (щоб переконатися, що взаємна довіра повністю встановлена) - зауважте, що це призведе до короткочасного збою в роботі служб на кожному DDR:
# Перезапуск файлів
Примітка: Ви можете перевірити існування довіри, виконавши наступну команду для джерела та цілі. Якщо ви перебуваєте на вихідному домені даних, використовуйте ім'я цільового хоста, і навпаки, якщо ви перебуваєте в цільовій системі.
# adminaccess показати довіру [ім'я хоста]
Кроки для налаштування безпечного контексту реплікації:
Зверніть увагу, що безпечна реплікація підтримується всіма протоколами реплікації (тобто directory/mtree/collection), однак у наступному прикладі використовується реплікація mtree. Якщо використовуються інші протоколи реплікації, команди потрібно буде змінювати за потреби.
- Створіть новий контекст реплікації (зауважте, що цю команду потрібно виконувати на системі source та destination):
# реплікація додати джерело mtree://[ім'я хоста джерела DDR]/data/col1/[ім'я mtree джерела джерела] призначення mtree://[ім'я хоста DDR призначення]/data/col1/[ім'я mtree призначення призначення] режим автентифікації з увімкненим шифруванням {анонімний | односторонній | двосторонній}
- Ініціалізуйте контекст реплікації на системі джерела:
# реплікація ініціалізує mtree://[ім'я хоста DDR призначення]/data/col1/[ім'я mtree призначення призначення]
Продукти, яких це стосується
Cloud Disaster RecoveryПродукти
Data Domain, Data Domain Replicator, DD OS 6.0Властивості статті
Article Number: 000019129
Article Type: How To
Востаннє змінено: 05 вер. 2025
Version: 5
Отримайте відповіді на свої запитання від інших користувачів Dell
Служба підтримки
Перевірте, чи послуги служби підтримки поширюються на ваш пристрій.