Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

创建云存储池

PDF

云存储池指定单个外部 Amazon S3 存储桶或其他与 S3 兼容的提供程序或 Azure Blob 存储容器。

创建云存储池时,您可以指定StorageGRID将用于存储对象的外部存储桶或容器的名称和位置、云提供商类型(Amazon S3/GCP 或 Azure Blob 存储)以及StorageGRID访问外部存储桶或容器所需的信息。

StorageGRID会在您保存云存储池后立即对其进行验证,因此您必须确保云存储池中指定的存储桶或容器存在且可访问。

开始之前
步骤

  1. 选择 ILM > 存储池 > 云存储池

  2. 选择*创建*,然后输入以下信息:

    字段 描述

    云存储池名称

    简要描述云存储池及其用途的名称。使用配置 ILM 规则时易于识别的名称。

    提供商类型

    您将使用哪个云提供商来提供此云存储池:

    • Amazon S3/GCP:为 Amazon S3、商业云服务 (C2S) S3、Google Cloud Platform (GCP) 或其他与 S3 兼容的提供商选择此选项。

    • Azure Blob 存储

    桶或容器

    外部 S3 存储桶或 Azure 容器的名称。保存云存储池后,您无法更改此值。

  3. 根据您选择的提供商类型,输入服务端点信息。

    亚马逊 S3/GCP

    1. 对于协议,选择 HTTPS 或 HTTP。

      备注 不要使用 HTTP 连接来传输敏感数据。

    2. 输入主机名。示例:

      s3-aws-region.amazonaws.com

    3. 选择 URL 样式:

      选项 描述

      自动检测

      尝试根据提供的信息自动检测要使用的 URL 样式。例如,如果您指定 IP 地址, StorageGRID将使用路径样式 URL。仅当您不知道要使用哪种特定样式时才选择此选项。

      虚拟托管式

      使用虚拟托管风格的 URL 访问存储桶。虚拟托管风格的 URL 将存储桶名称作为域名的一部分。例子: https://bucket-name.s3.company.com/key-name

      路径样式

      使用路径样式的 URL 访问存储桶。路径样式的 URL 在末尾包含存储桶名称。例子: https://s3.company.com/bucket-name/key-name

      *注意:*不建议使用路径样式 URL 选项,并且将在StorageGRID的未来版本中弃用该选项。

    4. (可选)输入端口号,或使用默认端口:HTTPS 为 443,HTTP 为 80。

    Azure Blob 存储

    1. 使用以下格式之一输入服务端点的 URI。

      • https://host:port

      • http://host:port

    例子: https://myaccount.blob.core.windows.net:443

    如果您未指定端口,则默认端口 443 用于 HTTPS,端口 80 用于 HTTP。

  4. 选择*继续*。然后选择身份验证类型并输入云存储池端点所需的信息:

    访问密钥

    对于 Amazon S3/GCP 或其他 S3 兼容提供商

    1. 访问密钥 ID:输入拥有外部存储桶的账户的访问密钥 ID。

    2. 秘密访问密钥:输入秘密访问密钥。

    随时随地使用 IAM 角色

    对于 AWS IAM Roles Anywhere 服务

    StorageGRID使用 AWS 安全令牌服务 (STS) 动态生成短期令牌来访问 AWS 资源。

    1. AWS IAM Roles Anywhere 区域:选择云存储池的区域。例如, us-east-1

    2. 信任锚 URN:输入验证短期 STS 凭证请求的信任锚的 URN。可以是根 CA 或中间 CA。

    3. 配置文件 URN:输入 IAM Roles Anywhere 配置文件的 URN,其中列出了任何受信任人员可以承担的角色。

    4. 角色 URN:输入任何受信任的人都可以承担的 IAM 角色的 URN。

    5. 会话持续时间:输入临时安全凭证和角色会话的持续时间。输入至少 15 分钟且不超过 12 小时。

    6. 服务器 CA 证书(可选):一个或多个受信任的 CA 证书,采用 PEM 格式,用于验证 IAM Roles Anywhere 服务器。如果省略,服务器将不会被验证。

    7. 终端实体证书:信任锚签名的 X509 证书的 PEM 格式的公钥。 AWS IAM Roles Anywhere 使用此密钥来颁发 STS 令牌。

    8. 最终实体私钥:最终实体证书的私钥。

    CAP(C2S访问门户)

    对于商业云服务 (C2S) S3 服务

    1. 临时凭证 URL:输入StorageGRID将用于从 CAP 服务器获取临时凭证的完整 URL,包括分配给您的 C2S 帐户的所有必需和可选 API 参数。

    2. 服务器 CA 证书:选择*浏览*并上传StorageGRID将用于验证 CAP 服务器的 CA 证书。证书必须采用 PEM 编码,并由适当的政府证书颁发机构 (CA) 颁发。

    3. 客户端证书:选择*浏览*并上传StorageGRID将用于向 CAP 服务器标识自身的证书。客户端证书必须是 PEM 编码的,由适当的政府证书颁发机构 (CA) 颁发,并授予对您的 C2S 帐户的访问权限。

    4. 客户端私钥:选择*浏览*并上传客户端证书的 PEM 编码私钥。

    5. 如果客户端私钥已加密,请输入解密客户端私钥的密码。否则,请将“客户端私钥密码”字段留空。

    备注 如果客户端证书需要加密,请使用传统格式进行加密。不支持 PKCS #8 加密格式。
    Azure Blob 存储

    对于 Azure Blob 存储,仅限共享密钥

    1. 帐户名称:输入拥有外部容器的存储帐户的名称

    2. 帐户密钥:输入存储帐户的密钥

    您可以使用 Azure 门户来查找这些值。

    匿名的

    不需要任何额外信息。

  5. 选择*继续*。然后选择您要使用的服务器验证类型:

    选项 描述

    在存储节点操作系统中使用根 CA 证书

    使用安装在操作系统上的 Grid CA 证书来保护连接。

    使用自定义 CA 证书

    使用自定义 CA 证书。选择*浏览*并上传 PEM 编码的证书。

    不验证证书

    选择此选项意味着与云存储池的 TLS 连接不安全。

  6. 选择*保存*。

    保存云存储池时, StorageGRID会执行以下操作:

    • 验证存储桶或容器和服务端点是否存在,以及是否可以使用您指定的凭据访问它们。

    • 将标记文件写入存储桶或容器以将其标识为云存储池。永远不要删除这个名为 x-ntap-sgws-cloud-pool-uuid

      如果云存储池验证失败,您会收到一条错误消息,解释验证失败的原因。例如,如果存在证书错误或者您指定的存储桶或容器不存在,则可能会报告错误。

  7. 如果发生错误,请参阅"云存储池故障排除说明",解决任何问题,然后再次尝试保存云存储池。