Création d'une relation de miroir pour un compartiment existant (cluster local)
Vous pouvez commencer à protéger à tout moment les compartiments S3 existants sur le même cluster. Par exemple, si vous mettez à niveau une configuration S3 à partir d'une version antérieure à ONTAP 9.10.1. Il est possible de mettre en miroir les données sur un compartiment de machines virtuelles de stockage différentes ou sur la même machine virtuelle de stockage que la source.
-
Les exigences relatives aux versions ONTAP, aux licences et à la configuration des serveurs S3 sont terminées.
-
Une relation de peering existe entre les machines virtuelles de stockage source et de destination.
-
Des certificats CA sont nécessaires pour les machines virtuelles source et cible. Vous pouvez utiliser des certificats d'autorité de certification auto-signés ou des certificats signés par un fournisseur d'autorité de certification externe.
-
S'il s'agit de la première relation SnapMirror S3 pour cette VM de stockage, vérifiez qu'il existe des clés utilisateur root pour les machines virtuelles de stockage source et de destination, puis régénérez-les si ce n'est pas le cas :
-
Cliquez sur Storage > Storage VM, puis sélectionnez la VM de stockage.
-
Dans l'onglet Paramètres, cliquez sur la mosaïque S3.
-
Dans l'onglet Users, vérifiez qu'il y a une clé d'accès pour l'utilisateur root.
-
Si ce n'est pas le cas, cliquez sur en regard de root, puis cliquez sur régénérer la clé. Ne pas régénérer la clé si elle existe déjà
-
-
Vérifiez que des utilisateurs et des groupes existants sont présents et disposent des droits d'accès appropriés dans les VM de stockage source et de destination : sélectionnez stockage > VM de stockage, puis sélectionnez la VM de stockage, puis l'onglet Paramètres. Enfin, localisez la mosaïque S3, sélectionnez , puis l'onglet utilisateurs et l'onglet groupes pour afficher les paramètres d'accès des utilisateurs et des groupes.
Voir "Ajoutez des utilisateurs et des groupes S3" pour en savoir plus.
-
Créez une règle SnapMirror S3 si vous ne disposez pas d'une règle existante et que vous ne souhaitez pas utiliser la règle par défaut :
-
Cliquez sur protection > vue d'ensemble, puis sur Paramètres de stratégie locale.
-
Cliquez sur en regard de politiques de protection, puis cliquez sur Ajouter.
-
Entrez le nom et la description de la stratégie.
-
Sélectionner la « policy scope », le cluster ou le SVM
-
Sélectionnez continu pour les relations SnapMirror S3.
-
Saisissez les valeurs accélérateur et objectif de point de récupération.
-
-
-
Vérifiez que la politique d'accès au compartiment du compartiment existant répond toujours à vos besoins :
-
Cliquez sur stockage > godets, puis sélectionnez le compartiment à protéger.
-
Dans l'onglet autorisations, cliquez sur Modifier, puis sur Ajouter sous autorisations.
-
Principal et effet - sélectionnez les valeurs correspondant aux paramètres de votre groupe d'utilisateurs ou acceptez les valeurs par défaut.
-
Actions - Assurez-vous que les valeurs suivantes sont affichées :
GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts
-
Ressources - utilisez les valeurs par défaut
(bucketname, bucketname/*)
ou d'autres valeurs dont vous avez besoin.Voir "Gérer l'accès des utilisateurs aux compartiments" pour plus d'informations sur ces champs.
-
-
-
Protection d'un compartiment existant avec SnapMirror S3 :
-
Cliquez sur stockage > godets, puis sélectionnez le compartiment à protéger.
-
Cliquez sur Protect et saisissez les valeurs suivantes :
-
Destination
-
CIBLE : système ONTAP
-
CLUSTER : sélectionnez le cluster local.
-
VM DE STOCKAGE : sélectionnez la même machine virtuelle de stockage ou une autre.
-
CERTIFICAT d'autorité de certification DU SERVEUR S3 : copiez et collez le contenu du certificat source.
-
-
Source
-
CERTIFICAT d'autorité de certification DU SERVEUR S3 : copiez et collez le contenu du certificat destination.
-
-
-
-
Cochez utilisez le même certificat sur la destination si vous utilisez un certificat signé par un fournisseur de CA externe.
-
Si vous cliquez sur Paramètres de destination, vous pouvez également saisir vos propres valeurs à la place des valeurs par défaut pour le nom de compartiment, la capacité et le niveau de service de performances.
-
Cliquez sur Enregistrer. Le compartiment existant est mis en miroir vers un nouveau compartiment dans la VM de stockage de destination.
À partir de ONTAP 9.14.1, vous pouvez sauvegarder des compartiments S3 verrouillés et les restaurer selon vos besoins.
Lorsque vous définissez les paramètres de protection d'un compartiment nouveau ou existant, vous pouvez activer le verrouillage des objets dans les compartiments de destination, à condition que les clusters source et de destination exécutent ONTAP 9.14.1 ou version ultérieure et que le verrouillage des objets est activé dans le compartiment source. Le mode de verrouillage d'objet et la durée de conservation du verrou du compartiment source deviennent applicables aux objets répliqués sur le compartiment de destination. Vous pouvez également définir une période de rétention de verrouillage différente pour le compartiment de destination dans la section Paramètres de destination. Cette période de conservation s'applique également à tout objet non verrouillé répliqué à partir du compartiment source et des interfaces S3.
Pour plus d'informations sur l'activation du verrouillage d'objet sur un compartiment, reportez-vous à la section "Créer un compartiment".
-
S'il s'agit de la première relation SnapMirror S3 pour ce SVM, vérifier que les clés utilisateur root existent pour les SVM source et de destination et les régénérer si ce n'est pas le cas :
vserver object-store-server user show
Vérifiez qu'il existe une clé d'accès pour l'utilisateur root. Si ce n'est pas le cas, entrez :
vserver object-store-server user regenerate-keys -vserver svm_name -user root
Ne pas régénérer la clé si elle existe déjà.
-
Créer un compartiment sur le SVM de destination pour être la cible du miroir :
vserver object-store-server bucket create -vserver svm_name -bucket dest_bucket_name [-size integer[KB|MB|GB|TB|PB]] [-comment text] [additional_options]
-
Vérifier que les règles d'accès aux règles de compartiment par défaut sont correctes dans les SVM source et destination :
vserver object-store-server bucket policy add-statement -vserver svm_name -bucket bucket_name -effect {allow|deny} -action object_store_actions -principal user_and_group_names -resource object_store_resources [-sid text] [-index integer]`
ExempleclusterA::> vserver object-store-server bucket policy add-statement -bucket test-bucket -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts -principal - -resource test-bucket, test-bucket /*
-
Créez une règle SnapMirror S3 si vous ne disposez pas d'une règle existante et que vous ne souhaitez pas utiliser la règle par défaut :
snapmirror policy create -vserver svm_name -policy policy_name -type continuous [-rpo _integer] [-throttle throttle_type] [-comment text] [additional_options]
Paramètres :
-
continuous
– Le seul type de règle pour les relations SnapMirror S3 (obligatoire). -
-rpo
– indique le temps de l'objectif de point de récupération, en secondes (facultatif). -
-throttle
– spécifie la limite supérieure sur le débit/bande passante, en kilo-octets/secondes (facultatif).ExempleclusterA::> snapmirror policy create -vserver vs0 -type continuous -rpo 0 -policy test-policy
-
-
Installer les certificats de serveur CA sur le SVM admin :
-
Installez le certificat CA qui a signé le certificat du serveur source S3 sur le SVM admin :
security certificate install -type server-ca -vserver admin_svm -cert-name src_server_certificate
-
Installez le certificat CA qui a signé le certificat du serveur destination S3 sur le SVM admin :
security certificate install -type server-ca -vserver admin_svm -cert-name dest_server_certificate
Si vous utilisez un certificat signé par un fournisseur de CA externe, il vous suffit d'installer ce certificat sur le SVM d'administration.Voir la
security certificate install
page de manuel pour plus de détails.
-
-
Création d'une relation SnapMirror S3 :
snapmirror create -source-path src_svm_name:/bucket/bucket_name -destination-path dest_peer_svm_name:/bucket/bucket_name, …} [-policy policy_name]
Vous pouvez utiliser une stratégie que vous avez créée ou accepter la règle par défaut.
Exemplesrc_cluster::> snapmirror create -source-path vs0-src:/bucket/test-bucket -destination-path vs1-dest:/bucket/test-bucket-mirror -policy test-policy
-
Vérifiez que la mise en miroir est active :
snapmirror show -policy-type continuous -fields status