Création d'une relation de miroir pour un compartiment existant (cluster distant)
Vous pouvez commencer à protéger les compartiments S3 à tout moment. Par exemple, si vous avez mis à niveau une configuration S3 à partir d'une version antérieure à ONTAP 9.10.1.
Vous devez effectuer des tâches sur les clusters source et cible.
-
Les exigences relatives aux versions ONTAP, aux licences et à la configuration des serveurs S3 sont terminées.
-
Une relation de peering existe entre les clusters source et destination, et une relation de peering existe entre les machines virtuelles de stockage source et destination.
-
Des certificats CA sont nécessaires pour les machines virtuelles source et cible. Vous pouvez utiliser des certificats d'autorité de certification auto-signés ou des certificats signés par un fournisseur d'autorité de certification externe.
Vous pouvez créer une relation de miroir à l'aide de System Manager ou de l'interface de ligne de commandes de ONTAP.
-
S'il s'agit de la première relation SnapMirror S3 pour cette VM de stockage, vérifiez qu'il existe des clés utilisateur root pour les machines virtuelles de stockage source et de destination, puis régénérez-les si ce n'est pas le cas :
-
Sélectionnez stockage > Storage VM, puis sélectionnez la VM de stockage.
-
Dans l'onglet Paramètres, cliquez sur la mosaïque S3.
-
Dans l'onglet Users, vérifiez qu'il y a une clé d'accès pour l'utilisateur root.
-
Si ce n'est pas le cas, cliquez sur en regard de root, puis cliquez sur régénérer la clé. Ne pas régénérer la clé si elle existe déjà.
-
-
Vérifiez que des utilisateurs et des groupes existants sont présents et disposent des droits d'accès appropriés dans les VM de stockage source et de destination : sélectionnez stockage > VM de stockage, puis sélectionnez la VM de stockage, puis l'onglet Paramètres. Enfin, localisez la mosaïque S3, sélectionnez , puis l'onglet utilisateurs et l'onglet groupes pour afficher les paramètres d'accès des utilisateurs et des groupes.
Voir " Ajoutez des utilisateurs et des groupes S3" pour en savoir plus.
-
Sur le cluster source, créez une règle SnapMirror S3 si vous ne disposez pas d'une règle existante et que vous ne souhaitez pas utiliser la règle par défaut :
-
Sélectionnez protection > vue d'ensemble, puis cliquez sur Paramètres de stratégie locale.
-
Sélectionnez en regard de politiques de protection, puis cliquez sur Ajouter.
-
Entrez le nom et la description de la stratégie.
-
Sélectionner la portée de la règle : cluster ou SVM
-
Sélectionnez continu pour les relations SnapMirror S3.
-
Saisissez les valeurs accélérateur et objectif de point de récupération.
-
-
Vérifiez que la politique d'accès au compartiment du compartiment existant répond toujours à vos besoins :
-
Cliquez sur stockage > godets, puis sélectionnez le compartiment à protéger.
-
Dans l'onglet autorisations, cliquez sur Modifier, puis sur Ajouter sous autorisations.
-
Principal et effet : sélectionnez les valeurs correspondant aux paramètres de votre groupe d'utilisateurs ou acceptez les valeurs par défaut.
-
Actions : assurez-vous que les valeurs suivantes sont affichées :
GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts
-
Ressources : utilisez les valeurs par défaut
(bucketname, bucketname/*)
ou d'autres valeurs dont vous avez besoin.Voir " Gérer l'accès des utilisateurs aux compartiments" pour plus d'informations sur ces champs.
-
-
-
Protection d'un compartiment existant avec la protection SnapMirror S3 :
-
Cliquez sur stockage > godets, puis sélectionnez le compartiment à protéger.
-
Cliquez sur Protect et saisissez les valeurs suivantes :
-
Destination
-
CIBLE : système ONTAP
-
CLUSTER : sélectionnez le cluster distant.
-
VM DE STOCKAGE : sélectionnez une VM de stockage sur le cluster distant.
-
CERTIFICAT d'autorité de certification DU SERVEUR S3 : copiez et collez le contenu du certificat source.
-
-
Source
-
CERTIFICAT d'autorité de certification DU SERVEUR S3 : copiez et collez le contenu du certificat destination.
-
-
-
-
Cochez utilisez le même certificat sur la destination si vous utilisez un certificat signé par un fournisseur de CA externe.
-
Si vous cliquez sur Paramètres de destination, vous pouvez également saisir vos propres valeurs à la place des valeurs par défaut pour le nom de compartiment, la capacité et le niveau de service de performances.
-
Cliquez sur Enregistrer. Le compartiment existant est mis en miroir vers un nouveau compartiment dans la VM de stockage de destination.
À partir de ONTAP 9.14.1, vous pouvez sauvegarder des compartiments S3 verrouillés et les restaurer selon vos besoins.
Lorsque vous définissez les paramètres de protection d'un compartiment nouveau ou existant, vous pouvez activer le verrouillage des objets dans les compartiments de destination, à condition que les clusters source et de destination exécutent ONTAP 9.14.1 ou version ultérieure et que le verrouillage des objets est activé dans le compartiment source. Le mode de verrouillage d'objet et la durée de conservation du verrou du compartiment source deviennent applicables aux objets répliqués sur le compartiment de destination. Vous pouvez également définir une période de rétention de verrouillage différente pour le compartiment de destination dans la section Paramètres de destination. Cette période de conservation s'applique également à tout objet non verrouillé répliqué à partir du compartiment source et des interfaces S3.
Pour plus d'informations sur l'activation du verrouillage d'objet sur un compartiment, reportez-vous à la section "Créer un compartiment".
-
S'il s'agit de la première relation SnapMirror S3 pour ce SVM, vérifiez que des clés utilisateur root existent pour les SVM source et de destination et régénérez-les si ce n'est pas le cas :
vserver object-store-server user show
+ Vérifiez qu'il y a une clé d'accès pour l'utilisateur root. Si ce n'est pas le cas, entrez :
vserver object-store-server user regenerate-keys -vserver svm_name -user root
+ ne régénérez pas la clé si elle existe déjà. -
Créer un compartiment sur le SVM de destination pour être la cible du miroir :
vserver object-store-server bucket create -vserver svm_name -bucket dest_bucket_name [-size integer[KB|MB|GB|TB|PB]] [-comment text] [additional_options]
-
Vérifier que les règles d'accès des politiques de compartiment par défaut sont correctes dans les SVM source et destination :
vserver object-store-server bucket policy add-statement -vserver svm_name -bucket bucket_name -effect {allow|deny} -action object_store_actions -principal user_and_group_names -resource object_store_resources [-sid text] [-index integer]
Exemplesrc_cluster::> vserver object-store-server bucket policy add-statement -bucket test-bucket -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts -principal - -resource test-bucket, test-bucket /*
-
Sur le SVM source, créer une règle SnapMirror S3 si vous ne disposez pas d'une règle existante et que vous ne souhaitez pas utiliser la règle par défaut :
snapmirror policy create -vserver svm_name -policy policy_name -type continuous [-rpo integer] [-throttle throttle_type] [-comment text] [additional_options]
Paramètres :
-
continuous
– Le seul type de règle pour les relations SnapMirror S3 (obligatoire). -
-rpo
– indique le temps de l'objectif de point de récupération, en secondes (facultatif). -
-throttle
– spécifie la limite supérieure sur le débit/bande passante, en kilo-octets/secondes (facultatif).Exemplesrc_cluster::> snapmirror policy create -vserver vs0 -type continuous -rpo 0 -policy test-policy
-
-
Installez les certificats CA sur les SVM admin des clusters source et destination :
-
Sur le cluster source, installez le certificat de l'autorité de certification qui a signé le certificat du serveur destination S3 :
security certificate install -type server-ca -vserver src_admin_svm -cert-name dest_server_certificate
-
Sur le cluster de destination, installez le certificat de l'autorité de certification qui a signé le certificat du serveur source S3 :
security certificate install -type server-ca -vserver dest_admin_svm -cert-name src_server_certificate
Si vous utilisez un certificat signé par un fournisseur d'autorité de certification externe, installez le même certificat sur le SVM d'administration source et de destination.Voir la
security certificate install
page de manuel pour plus de détails.
-
-
Sur le SVM source, créer une relation SnapMirror S3 :
snapmirror create -source-path src_svm_name:/bucket/bucket_name -destination-path dest_peer_svm_name:/bucket/bucket_name, …} [-policy policy_name]
Vous pouvez utiliser une stratégie que vous avez créée ou accepter la règle par défaut.
Exemplesrc_cluster::> snapmirror create -source-path vs0:/bucket/test-bucket -destination-path vs1:/bucket/test-bucket-mirror -policy test-policy
-
Vérifiez que la mise en miroir est active :
snapmirror show -policy-type continuous -fields status