Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activez l'accès au protocole S3 aux données NAS

Contributeurs

L'activation de l'accès au protocole S3 consiste à s'assurer qu'un SVM compatible avec NAS répond aux mêmes exigences qu'un serveur compatible S3, notamment l'ajout d'un serveur de magasin d'objets et la vérification des exigences en matière de réseau et d'authentification.

Pour les nouvelles installations ONTAP, il est recommandé d'activer l'accès par le protocole S3 à un SVM après sa configuration afin d'assurer le service des données NAS aux clients. Pour en savoir plus sur la configuration du protocole NAS, voir :

Avant de commencer

Les éléments suivants doivent être configurés avant d'activer le protocole S3 :

  • Les licences existent pour le protocole S3 et les protocoles NAS souhaités (NFS, SMB ou les deux).

  • Un SVM est configuré pour les protocoles NAS souhaités.

  • Les serveurs NFS et/ou SMB existent.

  • DNS et tous les autres services requis sont configurés.

  • Les données NAS sont exportées ou partagées vers les systèmes clients.

Description de la tâche

Un certificat d'autorité de certification (CA) est nécessaire pour activer le trafic HTTPS des clients S3 vers le SVM compatible avec S3. Les certificats CA provenant de trois sources peuvent être utilisés :

  • Nouveau certificat auto-signé ONTAP sur le SVM.

  • Certificat ONTAP signé automatiquement sur le SVM.

  • Un certificat tiers.

Vous pouvez utiliser les mêmes LIF de données pour le compartiment S3/NAS que pour le service des données NAS. Si des adresses IP spécifiques sont requises, reportez-vous à la section "Création de LIF de données". Une règle de données de service S3 est nécessaire pour activer le trafic de données S3 sur les LIF. Vous pouvez modifier la règle de service existante de la SVM afin d'inclure S3.

Lorsque vous créez le serveur objet S3, vous devez préparer le nom du serveur S3 en tant que nom de domaine complet (FQDN) que les clients utiliseront pour l'accès S3. Le FQDN du serveur S3 ne doit pas commencer par un nom de compartiment.

System Manager
  1. Activez S3 sur une machine virtuelle de stockage avec les protocoles NAS configurés.

    1. Cliquez sur stockage > Storage VMs, sélectionnez une VM de stockage compatible NAS, cliquez sur Paramètres, puis cliquez Icône actions sous S3.

    2. Sélectionnez le type de certificat. Que vous sélectionniez un certificat généré par le système ou l'un de vos propres certificats, il sera nécessaire d'accéder au client.

    3. Saisissez les interfaces réseau.

  2. Si vous avez sélectionné le certificat généré par le système, les informations de certificat s'affichent lorsque la création de la nouvelle machine virtuelle de stockage est confirmée. Cliquez sur Download et enregistrez-le pour accéder au client.

    • La clé secrète ne s'affiche plus.

    • Si vous avez besoin de nouveau des informations de certificat : cliquez sur stockage > machines virtuelles de stockage, sélectionnez la machine virtuelle de stockage, puis cliquez sur Paramètres.

CLI
  1. Vérifier que le protocole S3 est autorisé sur la SVM :
    vserver show -fields allowed-protocols

  2. Enregistrer le certificat de clé publique pour ce SVM.
    Si vous avez besoin d'un nouveau certificat auto-signé ONTAP, reportez-vous à la section "Créer et installer un certificat d'autorité de certification sur le SVM".

  3. Mettre à jour la stratégie de données de service

    1. Afficher la politique de données de service pour la SVM
      network interface service-policy show -vserver svm_name

    2. Ajoutez le data-core et data-s3-server services s'ils ne sont pas présents.
      network interface service-policy add-service -vserver svm_name -policy policy_name -service data-core,data-s3-server

  4. Vérifier que les LIF de données du SVM répondent à vos exigences :
    network interface show -vserver svm_name

  5. Création du serveur S3 :
    vserver object-store-server create -vserver svm_name -object-store-server s3_server_fqdn -certificate-name ca_cert_name -comment text [additional_options]

Vous pouvez spécifier des options supplémentaires lors de la création du serveur S3 ou à tout moment ultérieurement.

  • HTTPS est activé par défaut sur le port 443. Vous pouvez modifier le numéro de port à l'aide de l'option -Secure-Listener-port.
    Lorsque HTTPS est activé, des certificats CA sont requis pour une intégration correcte avec SSL/TLS. À partir de ONTAP 9.15.1, TLS 1.3 est pris en charge avec le stockage objet S3.

  • HTTP est désactivé par défaut ; lorsqu'il est activé, le serveur écoute le port 80. Vous pouvez l'activer avec l'option -is-http-enabled ou modifier le numéro de port avec l'option -port d'écoute.
    Lorsque HTTP est activé, toutes les demandes et réponses sont envoyées en clair sur le réseau.

    1. Vérifiez que S3 est configuré comme vous le souhaitez :
      vserver object-store-server show

Exemple
La commande suivante vérifie les valeurs de configuration de tous les serveurs de stockage objet :
cluster1::> vserver object-store-server show

Vserver: vs1

                      Object Store Server Name: s3.example.com
                          Administrative State: up
                        Listener Port For HTTP: 80
                Secure Listener Port For HTTPS: 443
                                  HTTP Enabled: false
                                 HTTPS Enabled: true
             Certificate for HTTPS Connections: svm1_ca
                                       Comment: Server comment