Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

S3-Protokollzugriff auf NAS-Daten aktivieren

Beitragende

Durch die Aktivierung des S3-Protokollzugriffs wird sichergestellt, dass eine NAS-fähige SVM dieselben Anforderungen erfüllt wie ein S3-fähiger Server. Dazu gehört auch das Hinzufügen eines Objektspeicher-Servers sowie die Überprüfung von Netzwerk- und Authentifizierungsanforderungen.

Bei neuen Installationen von ONTAP sollten Sie den S3-Protokollzugriff auf eine SVM aktivieren, nachdem Sie sie für die Bereitstellung von NAS-Daten für die Clients konfiguriert haben. Weitere Informationen zur Konfiguration von NAS-Protokollen finden Sie unter:

Bevor Sie beginnen

Vor Aktivierung des S3-Protokolls muss Folgendes konfiguriert werden:

  • Das S3-Protokoll und die gewünschten NAS-Protokolle – NFS, SMB oder beides – sind lizenziert.

  • Eine SVM wird für die gewünschten NAS-Protokolle konfiguriert.

  • Es existieren NFS- und/oder SMB-Server.

  • DNS und alle anderen erforderlichen Dienste werden konfiguriert.

  • NAS-Daten werden exportiert oder an Client-Systeme freigegeben.

Über diese Aufgabe

Um den HTTPS-Datenverkehr von S3-Clients auf die S3-fähige SVM zu aktivieren, ist ein CA-Zertifikat erforderlich. CA-Zertifikate aus drei Quellen können verwendet werden:

  • Ein neues eigensigniertes ONTAP-Zertifikat auf der SVM.

  • Ein vorhandenes ONTAP selbstsigniertes Zertifikat auf der SVM.

  • Ein Zertifikat eines Drittanbieters.

Sie können dieselben Daten-LIFs für den S3/NAS-Bucket verwenden, die Sie für die Bereitstellung von NAS-Daten verwenden. Wenn bestimmte IP-Adressen erforderlich sind, siehe "Erstellung von Daten-LIFs". Um den S3-Datenverkehr auf LIFs zu aktivieren, ist eine Datenrichtlinie für den S3-Service erforderlich. Sie können die vorhandene Servicerichtlinie der SVM auf S3 ändern.

Wenn Sie den S3-Objektserver erstellen, sollten Sie darauf vorbereitet sein, den S3-Servernamen als vollständig qualifizierter Domain-Name (FQDN) einzugeben, den Clients für den S3-Zugriff verwenden. Der FQDN des S3-Servers darf nicht mit einem Bucket-Namen beginnen.

System Manager
  1. Aktivieren Sie S3 auf einer Storage-VM mit konfigurierten NAS-Protokollen.

    1. Klicken Sie auf Storage > Storage VMs, wählen Sie eine NAS-fähige Storage-VM, klicken Sie auf Einstellungen und klicken Sie dann auf Icon Gear Unter S3.

    2. Wählen Sie den Zertifikatstyp aus. Unabhängig davon, ob Sie ein vom System generiertes Zertifikat oder ein eigenes Zertifikat auswählen, wird es für den Client-Zugriff erforderlich sein.

    3. Geben Sie die Netzwerkschnittstellen ein.

  2. Wenn Sie das vom System generierte Zertifikat ausgewählt haben, werden Ihnen die Zertifikatsinformationen angezeigt, wenn die Erstellung der neuen Storage-VM bestätigt wurde. Klicken Sie auf Download und speichern Sie es für den Client-Zugriff.

    • Der Geheimschlüssel wird nicht mehr angezeigt.

    • Wenn Sie die Zertifikatinformation erneut benötigen: Klicken Sie auf Storage > Storage VMs, wählen Sie die Speicher-VM aus und klicken Sie auf Einstellungen.

CLI
  1. Vergewissern Sie sich, dass das S3-Protokoll auf der SVM: + zulässig ist vserver show -fields allowed-protocols

  2. Notieren Sie das Zertifikat für den öffentlichen Schlüssel dieser SVM. + Wenn ein neues selbstsigniertes ONTAP-Zertifikat erforderlich ist, lesen Sie "Erstellen und installieren Sie ein CA-Zertifikat auf der SVM".

  3. Die Service-Datenrichtlinie aktualisieren

    1. Zeigt die Service-Datenrichtlinie für die SVM + an network interface service-policy show -vserver svm_name

    2. Fügen Sie und hinzu data-core data-s3-server services , wenn sie nicht vorhanden sind.
      network interface service-policy add-service -vserver svm_name -policy policy_name -service data-core,data-s3-server

  4. Stellen Sie sicher, dass die Daten-LIFs auf der SVM Ihre Anforderungen erfüllen:
    network interface show -vserver svm_name

  5. Den S3-Server erstellen:
    vserver object-store-server create -vserver svm_name -object-store-server s3_server_fqdn -certificate-name ca_cert_name -comment text [additional_options]

Sie können weitere Optionen beim Erstellen des S3-Servers oder zu einem späteren Zeitpunkt festlegen.

  • HTTPS ist standardmäßig an Port 443 aktiviert. Sie können die Portnummer mit der Option -Secure-Listener-Port ändern.
    Wenn HTTPS aktiviert ist, sind CA-Zertifikate für die ordnungsgemäße Integration mit SSL/TLS erforderlich. Ab ONTAP 9.15.1 wird TLS 1.3 auch für S3-Objektspeicher unterstützt.

  • HTTP ist standardmäßig deaktiviert; wenn diese Option aktiviert ist, wartet der Server auf Port 80. Sie können sie mit der Option -is-http-enabled aktivieren oder die Portnummer mit der Option -Listener-Port ändern. + Wenn HTTP aktiviert ist, werden alle Anfragen und Antworten in Klartext über das Netzwerk gesendet.

    1. Vergewissern Sie sich, dass S3 nach Bedarf konfiguriert ist:
      vserver object-store-server show

Beispiel + mit dem folgenden Befehl werden die Konfigurationswerte aller Objekt-Speicherserver überprüft:
cluster1::> vserver object-store-server show

Vserver: vs1

                      Object Store Server Name: s3.example.com
                          Administrative State: up
                        Listener Port For HTTP: 80
                Secure Listener Port For HTTPS: 443
                                  HTTP Enabled: false
                                 HTTPS Enabled: true
             Certificate for HTTPS Connections: svm1_ca
                                       Comment: Server comment