Configuration des comptes et des connexions des locataires
Pour configurer StorageGRID pour accepter les connexions à partir des applications client, vous devez créer un ou plusieurs comptes de tenant et configurer les connexions.
Création et configuration des comptes de locataire S3
Un compte de locataire S3 est requis avant que les clients d'API S3 ne puissent stocker et récupérer des objets sur StorageGRID. Chaque compte de locataire possède son propre ID de compte, groupes et utilisateurs, ainsi que des conteneurs et des objets.
Les comptes de locataires S3 sont créés par un administrateur grid StorageGRID à l'aide de Grid Manager ou de l'API de gestion du grid. Lors de la création d'un compte de locataire S3, l'administrateur du grid spécifie les informations suivantes :
-
Nom d'affichage du locataire (l'ID de compte du locataire est attribué automatiquement et ne peut pas être modifié).
-
Indique si le compte locataire est autorisé à utiliser des services de plateforme. Si l'utilisation des services de plateforme est autorisée, la grille doit être configurée pour prendre en charge leur utilisation.
-
Éventuellement, un quota de stockage pour le compte du locataire, soit le nombre maximal de gigaoctets, téraoctets ou pétaoctets disponibles pour les objets du locataire. Le quota de stockage d'un locataire représente une quantité logique (taille d'objet), et non une quantité physique (taille sur disque).
-
Si la fédération des identités est activée pour le système StorageGRID, quel groupe fédéré a l'autorisation d'accès racine pour configurer le compte de tenant.
-
Si l'authentification unique (SSO) n'est pas utilisée pour le système StorageGRID, que le compte de tenant utilise son propre référentiel d'identité ou partage le référentiel d'identité de la grille et le mot de passe initial de l'utilisateur racine local du locataire.
Une fois le compte de locataire S3 créé, les utilisateurs peuvent accéder au Gestionnaire des locataires pour effectuer les tâches suivantes :
-
Configurez la fédération des identités (sauf si le référentiel d'identité est partagé avec la grille) et créez des groupes et des utilisateurs locaux
-
Gestion des clés d'accès S3
-
Créez et gérez des compartiments S3, notamment les compartiments où le verrouillage d'objet S3 est activé
-
Utiliser les services de plate-forme (si activé)
-
Contrôle de l'utilisation du stockage
Les locataires S3 peuvent créer et gérer des compartiments S3 avec le Gestionnaire des locataires. Toutefois, ils doivent disposer de clés d'accès S3 et utiliser l'API REST S3 pour ingérer et gérer les objets. |
Configuration des connexions client
Un administrateur du grid fait des choix de configuration qui affectent la façon dont les clients S3 se connectent à StorageGRID pour stocker et récupérer les données. Les informations spécifiques dont vous avez besoin pour établir une connexion dépendent de la configuration choisie.
Les applications client peuvent stocker ou récupérer des objets en se connectant à l'un des éléments suivants :
-
Le service Load Balancer sur les nœuds d'administration ou de passerelle, ou, le cas échéant, l'adresse IP virtuelle d'un groupe de nœuds d'administration ou de nœuds de passerelle haute disponibilité
-
Le service CLB sur les nœuds de passerelle ou, éventuellement, l'adresse IP virtuelle d'un groupe de nœuds de passerelle haute disponibilité
Le service CLB est obsolète. Les clients configurés avant la version de StorageGRID 11.3 peuvent continuer à utiliser le service CLB sur les nœuds de passerelle. Toutes les autres applications client qui dépendent de StorageGRID pour fournir un équilibrage de la charge doivent se connecter à l'aide du service Load Balancer. -
Des nœuds de stockage, avec ou sans équilibreur de charge externe
Lors de la configuration de StorageGRID, un administrateur de la grille peut utiliser le gestionnaire de grille ou l'API de gestion de grille pour effectuer les étapes suivantes, qui sont toutes facultatives :
-
Configurez les noeuds finaux pour le service Load Balancer.
Vous devez configurer les noeuds finaux pour utiliser le service Load Balancer. Le service Load Balancer sur les nœuds d'administration ou de passerelle distribue les connexions réseau entrantes des applications client aux nœuds de stockage. Lors de la création d'un terminal d'équilibrage de charge, l'administrateur StorageGRID spécifie un numéro de port, si le terminal accepte les connexions HTTP ou HTTPS, le type de client (S3 ou Swift) qui utilisera le terminal ainsi que le certificat à utiliser pour les connexions HTTPS (le cas échéant).
-
Configurer des réseaux clients non fiables.
Si un administrateur StorageGRID configure le réseau client d'un nœud pour qu'il ne soit pas fiable, le nœud accepte uniquement les connexions entrantes sur le réseau client sur les ports explicitement configurés en tant que noeuds finaux d'équilibreur de charge.
-
Configurez les groupes haute disponibilité.
Si l'administrateur crée un groupe haute disponibilité, les interfaces réseau de plusieurs nœuds d'administration ou nœuds de passerelle sont placées dans une configuration de sauvegarde active/active. Les connexions client sont établies à l'aide de l'adresse IP virtuelle du groupe haute disponibilité.
Pour plus d'informations sur chaque option, reportez-vous aux instructions d'administration de StorageGRID.
Résumé : adresses IP et ports pour les connexions client
Les applications client se connectent à StorageGRID en utilisant l'adresse IP d'un nœud de grid et le numéro de port d'un service sur ce nœud. Si des groupes de haute disponibilité sont configurés, les applications client peuvent se connecter en utilisant l'adresse IP virtuelle du groupe de haute disponibilité.
Informations requises pour établir des connexions client
Le tableau récapitule les différentes façons dont les clients peuvent se connecter à StorageGRID ainsi que les adresses IP et les ports utilisés pour chaque type de connexion. Contactez votre administrateur StorageGRID pour en savoir plus ou consultez les instructions d'administration de StorageGRID pour obtenir une description de la recherche de ces informations dans le Gestionnaire de grille.
Là où la connexion est établie | Service auquel le client se connecte | Adresse IP | Port |
---|---|---|---|
Groupe HAUTE DISPONIBILITÉ |
Équilibreur de charge |
Adresse IP virtuelle d'un groupe haute disponibilité |
|
Groupe HAUTE DISPONIBILITÉ |
CLB Remarque : le service CLB est obsolète. |
Adresse IP virtuelle d'un groupe haute disponibilité |
Ports S3 par défaut :
|
Nœud d'administration |
Équilibreur de charge |
Adresse IP du nœud d'administration |
|
Nœud de passerelle |
Équilibreur de charge |
Adresse IP du nœud de passerelle |
|
Nœud de passerelle |
CLB Remarque : le service CLB est obsolète. |
Adresse IP du nœud de passerelle Remarque : par défaut, les ports HTTP pour CLB et LDR ne sont pas activés. |
Ports S3 par défaut :
|
Nœud de stockage |
LDR |
Adresse IP du nœud de stockage |
Ports S3 par défaut :
|
Exemple
Pour connecter un client S3 au terminal Load Balancer d'un groupe HA de nœuds de passerelle, utilisez une URL structurée comme illustré ci-dessous :
-
https://VIP-of-HA-group:_LB-endpoint-port_
Par exemple, si l'adresse IP virtuelle du groupe HA est 192.0.2.5 et le numéro de port d'un terminal S3 Load Balancer est 10443, un client S3 peut utiliser l'URL suivante pour vous connecter à StorageGRID :
Il est possible de configurer un nom DNS pour l'adresse IP que les clients utilisent pour se connecter à StorageGRID. Contactez votre administrateur réseau local.
Choix d'utiliser des connexions HTTPS ou HTTP
Lorsque les connexions client sont effectuées à l'aide d'un noeud final Load Balancer, les connexions doivent être effectuées à l'aide du protocole (HTTP ou HTTPS) spécifié pour ce noeud final. Pour utiliser HTTP pour les connexions client aux nœuds de stockage ou au service CLB sur les nœuds de passerelle, vous devez activer son utilisation.
Par défaut, lorsque les applications client se connectent aux nœuds de stockage ou au service CLB sur les nœuds de passerelle, elles doivent utiliser le protocole HTTPS chiffré pour toutes les connexions. Vous pouvez également activer des connexions HTTP moins sécurisées en sélectionnant l'option de grille Activer connexion HTTP dans le Gestionnaire de grille. Par exemple, une application client peut utiliser HTTP lors du test de la connexion à un noeud de stockage dans un environnement non-production.
Soyez prudent lorsque vous activez HTTP pour une grille de production car les demandes seront envoyées de manière non chiffrée. |
Le service CLB est obsolète. |
Si l'option Activer connexion HTTP est sélectionnée, les clients doivent utiliser des ports HTTP différents de ceux qu'ils utilisent pour HTTPS. Voir les instructions d'administration de StorageGRID.
Noms de domaine de terminaux pour les requêtes S3
Avant d'utiliser des noms de domaine S3 pour les demandes des clients, un administrateur StorageGRID doit configurer le système pour qu'il accepte les connexions qui utilisent les noms de domaine S3 dans les demandes de style d'accès S3 et de type hébergement virtuel S3.
Pour pouvoir utiliser des demandes de style hébergement virtuel S3, un administrateur grid doit effectuer les tâches suivantes :
-
Utilisez le Gestionnaire de grille pour ajouter les noms de domaine de points de terminaison S3 au système StorageGRID.
-
Vérifiez que le certificat utilisé par le client pour les connexions HTTPS à StorageGRID est signé pour tous les noms de domaine requis par le client.
Par exemple, si le noeud final est
s3.company.com
, L'administrateur de la grille doit s'assurer que le certificat utilisé pour les connexions HTTPS inclut les3.company.com
Nom de l'alternative (SAN) de l'objet générique du noeud final et du noeud final :*.s3.company.com
. -
Configurez le serveur DNS utilisé par le client pour inclure des enregistrements DNS qui correspondent aux noms de domaine de noeud final, y compris les enregistrements de caractères génériques requis.
Si le client se connecte à l'aide du service Load Balancer, le certificat que l'administrateur de la grille configure est le certificat du noeud final de l'équilibreur de charge utilisé par le client.
Chaque noeud final de l'équilibreur de charge possède son propre certificat et chaque noeud final peut être configuré pour reconnaître différents noms de domaine de point final. |
Si le client connecte des nœuds de stockage ou au service CLB sur les nœuds de passerelle, le certificat que l'administrateur de la grille configure est le certificat de serveur personnalisé unique utilisé pour la grille.
Le service CLB est obsolète. |
Pour plus d'informations, reportez-vous aux instructions d'administration de StorageGRID.
Une fois ces étapes terminées, vous pouvez utiliser des demandes de type hébergement virtuel (par exemple, bucket.s3.company.com
).
Test de la configuration de l'API REST S3
Vous pouvez utiliser l'interface de ligne de commande d'Amazon Web Services (AWS CLI) pour tester votre connexion au système et vérifier que vous pouvez lire et écrire des objets sur le système.
-
Vous devez avoir téléchargé et installé l'interface de ligne de commandes AWS depuis "aws.amazon.com/cli".
-
Vous devez avoir créé un compte de locataire S3 dans le système StorageGRID.
-
Configurez les paramètres Amazon Web Services pour utiliser le compte que vous avez créé dans le système StorageGRID :
-
Passer en mode configuration :
aws configure
-
Entrez l'ID de clé d'accès AWS pour le compte que vous avez créé.
-
Entrez la clé d'accès secret AWS pour le compte que vous avez créé.
-
Entrez la région par défaut à utiliser, par exemple US-East-1.
-
Entrez le format de sortie par défaut à utiliser ou appuyez sur entrée pour sélectionner JSON.
-
-
Créer un compartiment.
aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl create-bucket --bucket testbucket
Si le compartiment est créé avec succès, l'emplacement du compartiment est renvoyé, comme illustré dans l'exemple suivant :
"Location": "/testbucket"
-
Télécharger un objet.
aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl put-object --bucket testbucket --key s3.pdf --body C:\s3-test\upload\s3.pdf
Si l'objet est téléchargé avec succès, un ETAG est renvoyé, qui est un hachage des données de l'objet.
-
Répertorier le contenu du compartiment pour vérifier que l'objet a été téléchargé.
aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl list-objects --bucket testbucket
-
Supprimez l'objet.
aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl delete-object --bucket testbucket --key s3.pdf
-
Supprimer le compartiment.
aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl delete-bucket --bucket testbucket